GitHub e l'autenticazione a due fattori: obbligatoria dal 2024 per chi carica codice sulla piattaforma
La misura per un grado maggiore di protezione contro la compromissione degli account sfruttata per distribuire codice dannoso
di Andrea Bai pubblicata il 05 Maggio 2022, alle 14:01 nel canale SoftwareGitHub, la nota piattaforma per la condivisione di codice per progetti software che è attualmente utilizzata da milioni di sviluppatori in tutto il mondo, ha annunciato che entro la fine del 2023 sarà necessario attivare una forma di autenticazione a due fattori per poter caricare codice sulla piattaforma.
Si tratta di una nuova politica che viene proposta nell'ottica di migliorare la protezione dell'integrità del processo di sviluppo software a fronte delle minacce create dai malintenzionati che riescono a prendere il controllo degli account degli sviluppatori.
Mike Hanley, Chief Security Officer di GitHub, spiega: "La catena di distribuzione del software inizia con lo sviluppatore. Gli account degli sviluppatori sono obiettivi frequenti per le azioni di ingegneria sociale, e proteggere gli sviluppatori da questo tipo di attacchi è il primo e fondamentale passo verso la protezione della catena di distribuzione".
L'autenticazione multi-fattore è generalmente una misura di protezione
aggiuntiva piuttosto efficace per gli account online, ma un'indagine
interna di GitHub ha mostrato che solamente il 16,5% dei suoi utenti
attivi ha, al momento, attivato misure di sicurezza avanzate sui
propri account. Si tratta di una percentuale che un po' sorprende, poiché
l'utenza tipica di una piattaforma come GitHub dovrebbe essere consapevole
dei rischi associati alla compromissione di un account.
26 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoè la santa sicurezza, a breve auth a 3 fattori e retina scan
Il tuo commento è a dir poco preoccupante, essendo fatto su un forum di tecnologia.
Si spera solo che tu non abbia mansioni lavorative importanti
Si spera solo che tu non abbia mansioni lavorative importanti
La cosa preoccupante sono le persone che ritengono normali avere queste costrizioni arbitrarli
Sono ben consapevole del fatto che avere attiva l'autenticazione a due fattori aumenta la sicurezza, il mio problema sta nella parte in cui questa diventa "Obbligatoria", mi era parso di essere abbastanza chiaro a riguardo.
Perché non stai pubblicando un commento su un forum, stai pubblicando codice che poi verrà scaricato ed eseguito.
Non è una sicurezza nei confronti dell'utente che pubblica, ma nei confronti dell'utilizzatore che scarica...
Non è una sicurezza nei confronti dell'utente che pubblica, ma nei confronti dell'utilizzatore che scarica...
1)Cosa diavolo centra il fatto che chiunque abbia caricato quel codice abbia l'autenticazione a due fattori?
2)Ammesso che il tizio in questione abbia la bella autenticazione a due fattori attiva, significa che automaticamente il suo codice è perfetto e non dannoso e che non devi preoccuparti minimamente di farlo eseguire nella tua macchina senza nessun controllo / verifica / test su una macchina virtuale?
Ricordo che Github non viene usato solo per codice sorgente da compilare ed eseguire, ma anche per siti web statici, documenti 'open' solo testo e immagini, e così via.
Spero che altri servizi equivalenti come ad esempio Gitlab saranno in grado di distinguersi in questo senso.
1)Cosa diavolo centra il fatto che chiunque abbia caricato quel codice abbia l'autenticazione a due fattori?
2)Ammesso che il tizio in questione abbia la bella autenticazione a due fattori attiva, significa che automaticamente il suo codice è perfetto e non dannoso e che non devi preoccuparti minimamente di farlo eseguire nella tua macchina senza nessun controllo / verifica / test su una macchina virtuale?
1) C'entra col fatto che, se il "pubblicante" ha la 2FA attiva, è più difficile che il codice caricato dal suo account provenga da un malintenzionato che gli ha rubato le credenziali.
2) No, non significa che il suo codice sia perfetto. Significa che il codice è postato direttamente da lui. Se ti fidi di quel programmatore, puoi fidarti che quel codice l'abbia caricato lui. E non un impostore.
Ricordo che Github non viene usato solo per codice sorgente da compilare ed eseguire, ma anche per siti web statici, documenti 'open' solo testo e immagini, e così via.
Spero che altri servizi equivalenti come ad esempio Gitlab saranno in grado di distinguersi in questo senso.
Cosa c'entra l'anonimato con l'autenticazione a due fattori?
Sei loggato come prima, cosa cambia?
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".