Внедрение 2FA на GitHub повышает безопасность цепочек поставок

Стремясь повысить безопасность цепочки поставок программного обеспечения, GitHub успешно внедрил обязательную двухфакторную аутентификацию (2FA) для разработчиков кода на своей платформе.

Внедрение 2FA на GitHub, о котором было объявлено в мае 2022 года, было направлено на решение проблемы критически важного первого звена в цепочке поставок программного обеспечения путем обеспечения безопасности разработчиков, ответственных за проектирование, создание и поддержку программного обеспечения, на которое мы все полагаемся.

Результаты получены

После года тщательной подготовки, включавшей обширные исследования и разработку дизайна для оптимизации пользовательского опыта, GitHub поделился результатами первого этапа кампании по внедрению 2FA:

• Увеличение на 54 % числа пользователей 2FA среди всех активных участников GitHub, при этом доля отказа от использования 2FA среди авторов кода, получивших требование 2FA в 2023 году, составила почти 95 %.
• Значительное внедрение более безопасных методов 2FA, таких как пропускные ключи. С момента выхода публичной бета-версии passskeys в июле 2023 года на GitHub было зарегистрировано почти 1,4 миллиона passkeys, которые быстро обогнали другие формы 2FA с поддержкой WebAuthn в повседневном использовании.
• На 25 % снизилась общая доля SMS в качестве второго фактора, поскольку GitHub намеренно поощряет пользователей использовать более безопасные альтернативы, где это возможно.
• На 47 % повысилась вероятность того, что пользователи настроят две или более форм 2FA, что снижает риск блокировки аккаунта и обеспечивает более плавный и надежный пользовательский опыт.
• На треть сократилось количество обращений в службу поддержки, связанных с 2FA, что объясняется значительными инвестициями в пользовательский опыт и дизайн в преддверии внедрения.
• Благодаря оптимизации и автоматизации рабочего процесса на 54 % сократилось количество обращений в службу поддержки по вопросам восстановления учетных записей 2FA, требующих значительного вмешательства человека.

Прозрачность подхода GitHub вдохновила другие организации, такие как RubyGems, PyPI и AWS, на внедрение собственных требований 2FA, что еще больше укрепило безопасность цепочки поставок программного обеспечения.

Заглядывая в будущее

Отмечая первые достижения, GitHub признает, что обеспечение безопасности экосистемы программного обеспечения - это постоянная работа. В настоящее время компания изучает возможности того, как в 2024 году еще больше пользователей GitHub будут обязаны использовать 2FA, продолжая при этом отслеживать и улучшать пользовательский опыт.

GitHub также изучает дополнительные функции защиты учетных записей, такие как привязка сеансов и токенов, чтобы лучше управлять риском компрометации учетных записей, как с 2FA, так и без него. Кроме того, платформа намерена и дальше поощрять использование наиболее безопасных факторов аутентификации, таких как пропускные ключи или ключи безопасности, и помогать разработчикам "переходить" на более безопасные типы аутентификаторов.

GitHub призывает пользователей включить 2FA в своих учетных записях, внедрить пропускные ключи или потребовать 2FA в своих организациях, подчеркивая коллективную ответственность за защиту цепочки поставок программного обеспечения.