Llegamos a ustedes gracias a:



Noticias

GitHub obligará a utilizar el 2FA antes del 2023

A todos los contribuyentes de código

[06/05/2022] GitHub ha anunciado su mayor impulso hacia la autenticación de dos factores (2FA). La plataforma de desarrollo líder en el mundo dijo que requerirá que todos los usuarios que contribuyan con código se inscriban en 2FA para finales del 2023, para mejorar la seguridad de las cuentas de los desarrolladores y reforzar la seguridad dentro de la cadena de suministro de software. Dado el número de desarrolladores y empresas en la plataforma, la medida de GitHub es significativa, ya que los riesgos que rodean a las cadenas de suministro de software siguen amenazando y exponiendo a las organizaciones más de un año después del infame ataque SolarWinds Sunburst.

La tecnología 2FA se implantará en GitHub en el 2023

En una publicación del blog, el CSO de GitHub, Mike Hanley, declaró que las cuentas de los desarrolladores son objetivos frecuentes de la ingeniería social y la toma de posesión de cuentas, por lo que proteger a los desarrolladores de los ataques es el primer y más crítico paso para asegurar la cadena de suministro de software. Por lo tanto, todos los usuarios que contribuyan con código en GitHub.com deberán habilitar una o más formas de 2FA para finales del 2023, lo que dará tiempo a la empresa para garantizar que la seguridad de las cuentas no vaya en detrimento de la usabilidad, añadió.

El objetivo es ir más allá de la autenticación básica basada en contraseñas para ofrecer una defensa mejorada con 2FA. "La mayoría de las brechas de seguridad no son producto de exóticos ataques de día cero, sino que implican ataques de menor costo como la ingeniería social, el robo o la filtración de credenciales, y otras vías que proporcionan a los atacantes una amplia gama de acceso a las cuentas de las víctimas y a los recursos a los que tienen acceso", escribió Hanley. "Las cuentas comprometidas pueden utilizarse para robar código privado o introducir cambios maliciosos en ese código. Esto pone en riesgo no solo a las personas y organizaciones asociadas a las cuentas comprometidas, sino también a cualquier usuario del código afectado. El potencial de impacto en el ecosistema de software más amplio y en la cadena de suministro como resultado es sustancial".

GitHub ya ha inscrito a todos los mantenedores de los 100 paquetes más importantes del registro npm en la 2FA obligatoria, y ha mejorado todas las cuentas npm con verificación de inicio de sesión. El 31 de mayo, la empresa inscribirá a todos los mantenedores de los 500 paquetes más importantes en la 2FA obligatoria, mientras que su cohorte final serán los mantenedores de todos los paquetes de alto impacto, aquellos con más de 500 dependientes o un millón de descargas semanales, a los que tiene previsto inscribir en el tercer trimestre de este año. A continuación, GitHub aprovechará lo aprendido y aplicará la 2FA en todo GitHub.com.

En declaraciones a CSO, David Sygula, analista sénior de CybelAngel, afirma que, aunque los planes de GitHub de aplicar la 2FA en toda su plataforma reducirán significativamente las posibilidades de toma de cuentas, no significa que los usuarios de GitHub vayan a dejar de compartir secretos en su repositorio. "Uno de los problemas es que los repositorios se hacen públicos; no hay necesidad de iniciar sesión, por lo que la autenticación multifactor no ayudará con eso. Es una buena práctica, pero será de poca ayuda para asegurar la cadena de suministro".

Las amenazas a la cadena de suministro de software persisten, los ataques se triplicaron con creces en el 2021

Los riesgos de la cadena de suministro de software siguen afectando a las organizaciones de todo el mundo. En su Informe de Seguridad de la Cadena de Suministro de Software 2021, Argon estimó que los ataques a la cadena de suministro de software se triplicaron con creces en el 2021 en comparación con el 2020, con más vulnerabilidades y ataques descubiertos cada mes. Los atacantes se centraron en las vulnerabilidades de código abierto, el envenenamiento de las dependencias, los problemas de código, los procesos inseguros de la cadena de suministro, o la confianza implícita en los proveedores de software para distribuir malware o establecer puertas traseras en los recursos de los usuarios de las aplicaciones, señaló el informe. Citaba el uso de paquetes vulnerables, herramientas de canalización comprometidas y la integridad del código y los artefactos como los tres principales riesgos a los que se enfrentan las empresas.

Argon también predijo que los desafíos para asegurar la cadena de suministro de software seguirán siendo altos para las organizaciones en el 2022, con la falta de recursos, las brechas en el conocimiento y la experiencia de la seguridad de la cadena de suministro y las herramientas insuficientes que juegan un papel importante. "La colaboración con los equipos de DevOps y la automatización de la seguridad dentro de los flujos de trabajo de desarrollo deberían desempeñar un papel importante en las estrategias de seguridad de la cadena de suministro de software", concluyó el informe.