Aquí hay algunas noticias que son sencillas y que aún tienen mucho tiempo, pero que son importantes: para fines de 2023, GitHub requerirá que todos los usuarios que contribuyan con código en la plataforma habiliten una o más formas de autenticación de dos factores (2FA).
Y eso es todo por las noticias. Hoy, dice la empresa propiedad de Microsoft, solo el 16,5 % de los usuarios activos de GitHub y el 6,44 % de los usuarios de npm usan 2FA. Eso no es mucho, y francamente menos de lo que hubiera esperado.
“Las cuentas comprometidas se pueden usar para robar código privado o introducir cambios maliciosos en ese código. Esto pone en riesgo no solo a las personas y organizaciones asociadas con las cuentas comprometidas, sino también a los usuarios del código afectado. Como resultado, el potencial de impacto descendente en el ecosistema de software más amplio y la cadena de suministro es sustancial”, escribe Mike Hanley, director de seguridad de GitHub, en el anuncio de hoy.
También señala que la compañía está tratando de asegurarse de que la capa adicional de seguridad no se produzca a expensas de la experiencia del usuario. De ahí el largo tiempo que transcurre entre el anuncio de hoy y el momento en que lo hará cumplir. “Nuestro objetivo para fines de 2023 nos brinda la oportunidad de optimizar para esto”, explica Hanley. Cambiar a 2FA implica algunos cambios en la experiencia del usuario tanto en la línea de comandos como en la interfaz web de GitHub.
Vale la pena señalar que a principios de este año, GitHub también inscribió a los mantenedores de los 100 mejores paquetes npm en 2FA obligatorio para evitar ataques a la cadena de suministro de software. Planea expandirse a los mantenedores de los 500 mejores paquetes este mes y luego expandirlo a todos los paquetes con más de 500 dependientes o 1 millón de descargas semanales.