La introducción de un mandato de autenticación multifactor (MFA) para los usuarios de su plataforma ha valido la pena para GitHub, que ha informado de un aumento masivo en la adopción en los últimos 12 meses, mientras continúa su impulso para mejorar los estándares de seguridad cibernética en todo el software de código abierto (OSS). ) comunidad.
Reconociendo el impacto de seguridad de los problemas de la cadena de suministro de software en miles de organizaciones en todo el mundo que se vieron comprometidas por problemas que surgieron a través de código OSS inseguro (el incidente de Log4Shell fue posiblemente el más infame), GitHub se embarcó en una campaña para elevar el nivel de seguridad de la cadena de suministro dirigiéndose a los desarrolladores. en mayo de 2022.
Como parte de eso, introdujo MFA obligatoria para usuarios seleccionados en marzo de 2023, centrándose al principio en aquellos que se considera que tienen el impacto más crítico en la cadena de suministro de software.
En los últimos 12 meses, la plataforma dice que ha visto una tasa de aceptación del 95% entre los contribuyentes de código que recibieron el requisito de MFA, y las inscripciones aún siguen llegando. En términos más generales, agregó, ha visto un aumento del 54% en la adopción de MFA entre todos los contribuyentes activos a los proyectos alojados en GitHub.
“Aunque la tecnología ha avanzado significativamente para combatir la proliferación de sofisticadas amenazas a la seguridad, la realidad es que prevenir el próximo ciberataque depende de tener los conceptos básicos de seguridad correctos, y los esfuerzos para proteger el ecosistema de software deben proteger a los desarrolladores que diseñan, construyen y mantienen. el software del que todos dependemos”, escribió Mike Hanley, director de seguridad y vicepresidente senior de ingeniería de GitHub.
“Como hogar de la comunidad de desarrolladores más grande del mundo, GitHub se encuentra en una posición única para ayudar a mejorar la seguridad de la cadena de suministro de software…. Una MFA sólida sigue siendo una de las mejores defensas contra la apropiación de cuentas y el consiguiente compromiso de la cadena de suministro”.
Además de impulsar a los desarrolladores hacia una mejor higiene cibernética básica, GitHub dice que también ha visto a los usuarios adoptar medios más seguros de MFA, incluidas claves de acceso, cuya introducción fue un enfoque clave de la iniciativa; ha registrado 1,4 millones de claves de acceso en GitHub.com desde que abrió una versión beta pública en julio de 2023 y la tecnología ha superado rápidamente a otras formas de MFA respaldadas por Webauthn en el uso diario de la plataforma.
En aras de la flexibilidad, continúa ofreciendo formas menos seguras de MFA, como códigos SMS, por el momento, aunque Hanley dijo que GitHub había intentado hacer que sus flujos de trabajo de incorporación de MFA alejaran a las personas de los SMS como opción.
GitHub también informó una reducción neta en los volúmenes de tickets de soporte relacionados con MFA, lo que atribuye a una intensa investigación y diseño inicial de los usuarios, así como a algunas mejoras en el proceso de soporte backend que ha realizado.
Además, dijo Hanley, otros líderes de OSS también se están involucrando. “Organizaciones como RubyGems, PyPI y AWS se unieron a nosotros para elevar el nivel de toda la cadena de suministro de software, demostrando que los grandes aumentos en la adopción de MFA no son un desafío insuperable”, escribió.
Llamada a la acción
De cara al futuro, Hanley dijo que el alcance del proyecto hasta ahora ha priorizado grupos de usuarios específicos en función de sus privilegios y acciones, pero enfatizó que GitHub está interesado en explorar cómo puede requerir que más usuarios se inscriban en los próximos 12 meses, y alentar a los desarrolladores ascender en la cadena alimentaria hacia factores más seguros, como claves de acceso, manteniendo al mismo tiempo la experiencia del usuario.
También está investigando la implementación de otras características de seguridad de la cuenta, como la vinculación de sesión y token, que podrían permitir a los usuarios gestionar el riesgo de que la cuenta se vea comprometida de forma más eficaz, independientemente de si se han inscrito o no en MFA. Hanley dijo que todavía queda mucho trabajo por hacer para ayudar a los usuarios que tal vez no puedan acceder a un teléfono inteligente o que no tengan control sobre el software de la computadora que están utilizando para adoptar MFA.
“Como plataforma global, creemos que todos deberían tener acceso a herramientas que hagan que el desarrollo de software sea más fácil y seguro, y nuestros esfuerzos para imponer una autenticación sólida para la mayor cantidad de desarrolladores posible están en curso”, dijo Hanley.
“Continuaremos encontrando soluciones para proteger a los desarrolladores, los proyectos en los que están trabajando y las comunidades en las que participan, trabajando duro para adoptar un enfoque equilibrado que mejore en gran medida la seguridad de toda la cadena de suministro de software sin restringir a aquellos con diferentes configuraciones o entornos en todo el mundo”, dijo.
Al conmemorar el primer aniversario del inicio del mandato de MFA, GitHub dijo que estaba claro que, de hecho, era posible elevar el nivel de seguridad sin impactar negativamente la experiencia del usuario, y está alentando a sus pares, y a la industria en general, a adoptar firmemente considere hacer que MFA también sea un requisito obligatorio en sus plataformas.