No ano passado, o GitHub anunciou o compromisso de exigir que todos que contribuem com código na plataforma habilitem a autenticação de dois fatores (2FA) até o final de 2023. Essa medida passará a valer efetivamente a partir de 13 de março, quando a plataforma começará a contactar alguns grupos de pessoas desenvolvedoras e administradoras para notificá-las sobre o requisito de inscrição no 2FA.
“Esse lançamento gradual nos permitirá garantir que os usuários sejam capazes de se integrar com êxito e fazer os ajustes necessários antes de escalarmos para grupos maiores à medida que o ano avança”, explica Hirsch Singhal, Gerente de Produtos de equipe no GitHub.
Segundo ele, o GitHub é central para a cadeia de suprimentos de software, e protegê-la começa com o desenvolvedor. Por isso, a iniciativa 2FA faz parte de um esforço em toda a plataforma para proteger o desenvolvimento de software, melhorando a segurança das contas: “as contas dos desenvolvedores são alvos frequentes de engenharia social e aquisição de conta (ATO). Proteger desenvolvedores e consumidores do ecossistema de open source desses tipos de ataques é o primeiro e mais importante passo para proteger a cadeia de suprimentos“.
O Gerente de Produtos explica ainda que, as contas selecionadas para inscrição receberão uma notificação por e-mail e verão também um banner ao acessarem o GitHub.com, solicitando que se inscrevam. A pessoa notificada terá então um período de 45 dias para configurar a autenticação de dois fatores (2FA) em sua conta, durante o qual nada mudará em relação ao uso do GitHub, exceto pelos lembretes. O GitHub informará quando o prazo para ativação estiver se aproximando e, uma vez passado, será preciso ativar o 2FA na primeira vez em que acessar o GitHub.com, sendo possível adiar essa notificação por até uma semana – após esse prazo, o acesso à conta será limitado. “O período de adiamento começa somente quando o usuário faz login após o prazo, portanto, se estiver de férias ou fora do escritório, ainda terá uma semana para configurar o 2FA quando voltar ao trabalho”, informa Hirsch Singhal.
Contas que não estiverem em um grupo de inscrição antecipada, também podem antecipar sua inscrição no 2FA, basta seguir algumas etapas fáceis clicando aqui.
O que esperar ao habilitar o 2FA
O GitHub projetou um processo de implantação destinado a minimizar interrupções inesperadas e perda de produtividade, além de evitar bloqueios de contas. Grupos de usuários serão solicitados a ativar o 2FA gradualmente, e cada grupo será selecionado com base nas ações que realizaram ou no código para o qual contribuíram.
Nos casos de projetos que sejam lançados ou a pessoa desenvolvedora se torne mantenedora de um repositório crítico, esta poderá de repente se qualificar para um grupo que já começou sua linha do tempo de inscrição. Se isso acontecer, a pessoa iniciará seu período de 45 dias no dia seguinte, seguindo a mesma linha do tempo descrita acima.
Como o GitHub tornou a segurança das contas mais fácil com o 2FA
De acordo com Laura Paine, Diretora de Marketing de Produto, a plataforma quer fazer com que inscrever contas no 2FA seja o mais fácil possível, usando métodos confiáveis e seguros para que as pessoas desenvolvedoras sempre tenham acesso às contas (e ninguém mais). Ela explica que para se preparar para este programa, a equipe esteve ocupada aprimorando essa experiência. Aqui estão alguns dos destaques:
A Diretora de Marketing de Produto também adianta: “já estamos testando internamente as passkeys, que acreditamos combinarão facilidade de uso com autenticação forte e resistente a phishing”. Segundo ela, as pessoas desenvolvedoras podem ficar de olho para anúncio sobre quando essa funcionalidade estiver pronta.
Assegurar a cadeia de suprimentos de software é um esforço em equipe
O software open source é ubíquo, com 90% das empresas relatando que usam software open source em seus próprios softwares. O GitHub é uma parte crítica do ecossistema de open source, por isso leva a sério a garantia da segurança das contas. Autenticação forte e o uso de 2FA têm sido reconhecidos como boas práticas há muitos anos, por isso, o GitHub tem o dever de expandir essa melhor prática como parte da proteção da cadeia de suprimentos de software.
Mais importante ainda, no entanto, segundo Laura Paine, é que não é possível melhorar a segurança da cadeia de suprimentos de software sem as pessoas desenvolvedoras. “Agradecemos antecipadamente pelo apoio de todos e por inscreverem suas contas do GitHub em 2FA para tornar o software open source mais seguro para todos”, finaliza.
Fonte: GitHub