vendredi, 29 mars 2024

GitHub rendra obligatoire 2FA pour tous les contributeurs de code d’ici 2023

Crédit : Dreamstime

GitHub a en fait annoncé sa plus grande poussée vers le double facteur authentification (2FA). La principale plate-forme de développement au monde a déclaré qu’elle exigerait que tous les utilisateurs contributeurs de code s’inscrivent à 2FA d’ici la fin de 2023 pour améliorer la sécurité des comptes des concepteurs et renforcer la sécurité au sein de la chaîne d’approvisionnement logicielle.

Offrant la variété de développeurs et d’entreprises sur la plate-forme, la décision de GitHub est considérable, les dangers entourant les chaînes d’approvisionnement des applications logicielles continuant de menacer et d’exposer les organisations plus d’un an après la tristement célèbre attaque SolarWinds Sunburst.

La 2FA sera présentée sur GitHub d’ici 2023

Dans un article , GitHub CSO Mike Hanley a déclaré que les comptes de développeur sont des cibles fréquentes pour l’ingénierie sociale et la prise de contrôle de compte, donc la protection des développeurs contre les attaques est la toute première et la plus critique étape vers la protection de la chaîne d’approvisionnement logicielle.

Tous les utilisateurs qui contribuent au code sur GitHub.com devront activer un ou plusieurs types de 2FA d’ici la fin de 2023, ce qui laissera le temps à l’entreprise de garantir qu’une sécurité de compte solide ne vient pas au coût de la convivialité, a-t-il inclus.

L’objectif est d’aller au-delà de l’authentification fondamentale basée sur un mot de passe pour offrir une défense renforcée par 2FA.

« La plupart des failles de sécurité ne sont pas le produit d’attaques exotiques de type « zero-day », mais impliquent plutôt des attaques à moindre coût comme l’ingénierie sociale, le vol ou la fuite d’informations d’identification, et d’autres opportunités qui offrent aux ennemis une large série d’accès aux comptes des victimes et aux ressources auxquelles elles ont accès », a composé Hanley.

« Les comptes compromis peuvent être utilisés pour prendre du code privé ou apporter des modifications destructrices à ce code. Cela met non seulement en danger les personnes et les organisations liées aux comptes compromis, mais également tous les utilisateurs du code impacté. La capacité d’impact en aval sur la communauté d’applications logicielles plus complète et la chaîne d’approvisionnement en tant que résultat est significative. »

GitHub a actuellement inscrit tous les mainteneurs des 100 meilleurs packages sur le registre npm dans le 2FA nécessaire et a renforcé tous les comptes npm avec vérification de connexion.

Le 31 mai, l’entreprise inscrira tous les mainteneurs des 500 meilleurs forfaits au 2FA obligatoire, tandis que son dernier associé sera les mainteneurs de tous les plans à fort impact, ceux qui comptent plus de 500 personnes à charge ou un million téléchargements hebdomadaires, qu’il prévoit d’enregistrer au 3e trimestre de cette année. GitHub utilisera ensuite ce qu’il a réellement découvert et utilisera 2FA sur GitHub.com.

S’adressant au CSO, David Sygula, analyste senior chez CybelAngel, déclare que même si les stratégies de GitHub pour exécuter 2FA sur sa plate-forme vont considérablement réduire les possibilités de prise de contrôle de compte, cela n’implique pas que les utilisateurs de GitHub cesseront de partager des astuces dans leur référentiel.

« L’un des problèmes est que les référentiels sont rendus publics ; il n’est pas nécessaire de se connecter, donc l’authentification multifacteur n’aidera pas à cela. C’est une excellente pratique, mais elle ne sera d’aucune utilité dans la sécurisation de la chaîne d’approvisionnement. »

Les dangers de la chaîne d’approvisionnement en logiciels persistent, les attaques ont plus que triplé en 2021

Les risques de la chaîne d’approvisionnement en logiciels continuent d’avoir un impact sur les organisations du monde entier monde. Dans son rapport 2021 sur la sécurité de la chaîne d’approvisionnement des applications logicielles, Argon a estimé que les attaques de la chaîne d’approvisionnement des applications logicielles avaient plus que triplé en 2021 par rapport à 2020, avec plus de vulnérabilités et d’attaques découvertes chaque mois.

Les attaquants se sont concentrés sur les vulnérabilités open source, l’empoisonnement de la dépendance, les problèmes de code, les procédures de chaîne d’approvisionnement non sécurisées ou la confiance implicite dans les fournisseurs d’applications logicielles pour disperser les logiciels malveillants ou développer des portes dérobées dans les ressources des utilisateurs d’applications, précise le rapport. Il a cité l’utilisation de plans sensibles, les outils de pipeline compromis et l’intégrité du code et des artefacts comme les 3 principaux dangers auxquels sont confrontées les organisations.

Argon a également prédit que les difficultés de sécurisation de la chaîne d’approvisionnement en logiciels resteront élevées pour les organisations en 2022 , avec un manque de ressources, des lacunes dans les connaissances et les compétences en matière de sécurité de la chaîne d’approvisionnement et des outils inadéquats jouant un rôle considérable.

« La coopération avec les équipes DevOps et l’automatisation de la sécurité dans les workflows de développement devraient jouer un rôle énorme dans les méthodes de sécurité de la chaîne d’approvisionnement logicielle », conclut le rapport.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici