GitHub verplicht 2FA, uitrol start vandaag

"GitHub staat centraal voor de software supplychain en het beveiligen van de software supplychain begint met de developer", stelt het ontwikkelplatform in een blogpost. Daarin kondigt het aan dat het startschot voor de 2FA-uitrol vandaag wordt gegeven. "Ons 2FA-initiatief is onderdeel van een platformbrede inspanning om softwareontwikkeling te beveiligen door accountbeveiliging te verbeteren."

Supplychain-hackaanvallen

Accounts van ontwikkelaars zijn namelijk vaak doelwit van aanvalspogingen. Kwaadwillenden kiezen daarbij bijvoorbeeld voor social engineering, om dan accounts over te kunnen nemen. Daarlangs zijn dan stiekeme achterdeuren of misbruikbare kwetsbaarheden te verwerken in softwareprojecten. Die ingebouwde malafide voorzieningen kunnen later misbruikt worden bij gebruikers van die software, wat dus een enorm schaaleffect kan opleveren.

GitHub gaat in de loop van dit jaar meer doen om developers maar ook beheerders te bereiken, en te doordringen van de noodzaak van betere beveiliging. De focus ligt daarbij dus op de toeleveringsketen van software, die veelal bestaat uit componenten van diverse developers.

Deadline, termijn en vakantie

De eerste ontwikkelaars met GitHub-accounts krijgen vanaf vandaag notificatie, via e-mail én een banner op GitHub.com, dat ze zijn geselecteerd voor de 2FA-uitrol. Deze gebruikers hebben dan 45 dagen de tijd om 2FA te configureren voor hun account. Tijdens die periode gebeurt er nog niets, stelt GitHub gerust, behalve dan het sturen van herinneringen.

"We zullen je laten weten wanneer de deadline voor inschakeling nadert." Zodra deze configuratietermijn is verstreken, krijgen developers de gelegenheid om 2FA in te stellen bij de eerstvolgende keer dat ze inloggen op GitHub.com. "Je krijgt de mogelijkheid om deze notificatie tot maximaal een week op stil te zetten, maar daarna is je toegang tot je account beperkt." Deze week van snooze-periode gaat pas van start na de eerste keer inloggen ná het verstrijken van de 45 dagen. GitHub houdt hiermee rekening met mensen die bijvoorbeeld op vakantie zijn.