GitHub เตรียมบังคับให้นักพัฒนาเปิดใช้งาน 2FA

การโจมตี Software Supply Chain ส่วนหนึ่งเกิดจากการโจมตีผ่านทางนักพัฒนา เช่น โจมตีผ่าน Social Engineering หรือนักพัฒนาบางรายที่อาจะใช้งานรหัสผ่านที่ไม่มีความแข็งแรงเพียงพอ โดยเมื่อผู้ไม่หวังดีได้ข้อมูล Credential ของนักพัฒนาไป จะทำให้สามารถเข้าถึงซอร์สโค้ดต่างๆ ที่อยู่ภายใต้ Repository โดยอาจทำการแก้ไข, ขโมยข้อมูลออกมา หรือทำการแอบฝังโค้ดที่ไม่ปลอดภัยลงไปได้ ก่อนหน้านี้ Heroku เคยเกิดกรณีการโจมตีคล้ายกันนี้มาแล้ว ซึ่งผู้ไม่หวังดีทำการเจาะ Git Repository ภายในและทำการขโมย OAuth token ออกไป

GitHub มีความพยายามในการป้องกันการโจมตี Software Supply Chain ซึ่งเล็งเห็นว่าควรเริ่มจากนักพัฒนาเองเป็นลำดับแรก โดยจะทำการบังคับให้นักพัฒนาทั้งหมดเปิดใช้งานระบบ 2FA สำหรับเข้าใช้งาน ก่อนหน้านี้ GitHub ได้ยกเลิก Basic authentication ออกไปแล้ว และเปิดใช้งานอีเมล์สำหรับการทำ Verification

การ Rollout จะเริ่มจาก Package npm ก่อน หลังจากนั้นจะค่อยๆขยายไปสู่ Package ลำดับที่ 100 และ 500 ตามลำดับ และจะบังคับให้นักพัฒนาทั้งหมดเปิด 2FA ภายในปี 2023 ปัจจุบัน GitHub มีผู้ใช้งานที่เปิดใช้งาน 2FA แล้ว 16.5% เท่านั้น

ที่มา: https://www.zdnet.com/article/github-launches-new-two-factor-authentication-mandates-for-code-developers/