En un esfuerzo por mejorar la seguridad de la cadena de suministro de software, GitHub ha implementado con éxito la autenticación obligatoria de dos factores (2FA) para los contribuyentes de código en su plataforma.
Lanzamiento de 2FA de GitHub – Anunciado en mayo de 2022, tenía como objetivo abordar el primer eslabón crítico de la cadena de suministro de software asegurando a los desarrolladores responsables del diseño, la construcción y el mantenimiento del software en el que todos confiamos.
Los resultados están en
Después de un año de meticulosa preparación, incluidos extensos esfuerzos de investigación y diseño para optimizar la experiencia del usuario, GitHub ha compartido los resultados de la primera fase de su campaña de inscripción 2FA:
- Aumento del 54 % en la adopción de 2FA entre todos los contribuyentes activos en GitHub, con una tasa de aceptación de casi el 95 % entre los contribuyentes de código que recibieron el requisito de 2FA en 2023.
- Adopción significativa de métodos 2FA más seguros, como claves de acceso. Desde el lanzamiento beta público de las claves de acceso en julio de 2023, se han registrado casi 1,4 millones de claves de acceso en GitHub, superando rápidamente a otras formas de 2FA respaldadas por WebAuthn en el uso diario.
- Reducción del 25% en la participación general de SMS como segundo factor, ya que GitHub alentó intencionalmente a los usuarios a adoptar alternativas más seguras siempre que fuera posible.
- Un 47 % más de probabilidad de que los usuarios configuren dos o más formas de 2FA, lo que reduce el riesgo de bloqueos de cuentas y proporciona una experiencia de usuario más fluida y confiable.
- Reducción de un tercio en los tickets de soporte relacionados con 2FA, atribuida a las importantes inversiones en experiencia de usuario y diseño antes del lanzamiento.
- Reducción del 54 % en los tickets de soporte de recuperación de cuentas 2FA que requieren una intervención humana significativa, gracias a las optimizaciones y la automatización del flujo de trabajo.
La transparencia de GitHub sobre su enfoque ha inspirado a otras organizaciones (como RubyGems, PyPI y AWS) a implementar sus propios requisitos 2FA, fortaleciendo aún más la seguridad de la cadena de suministro de software.
Mirando hacia el futuro
Si bien celebra los logros iniciales, GitHub reconoce que proteger el ecosistema de software es un esfuerzo continuo. La compañía está evaluando formas de exigir que aún más usuarios de GitHub se inscriban en 2FA durante 2024 mientras continúa monitoreando y mejorando la experiencia del usuario.
GitHub también está investigando características adicionales de seguridad de la cuenta, como la vinculación de sesión y token, para gestionar mejor el riesgo de que la cuenta se vea comprometida, con o sin 2FA. Además, la plataforma tiene como objetivo continuar impulsando la adopción de los factores de autenticación más seguros disponibles, como claves de acceso o claves de seguridad, y ayudar a los desarrolladores a «ascender» hacia tipos de autenticadores más seguros.
GitHub insta a los usuarios a habilitar 2FA en sus cuentas, adoptar claves de acceso o exigir 2FA para sus organizaciones, subrayando la responsabilidad colectiva de salvaguardar la cadena de suministro de software.
(Foto por Praveen Thirumurugan)
Ver también: Fortaleciendo la seguridad de las aplicaciones con la ayuda de Terraform
¿Quiere obtener más información sobre la ciberseguridad y la nube de la mano de los líderes de la industria? Verificar Exposición de seguridad cibernética y nube que tendrá lugar en Amsterdam, California y Londres. El evento integral comparte ubicación con otros eventos importantes, incluidos bloquex, Semana de la Transformación Digital, Exposición de tecnología de IoT y Exposición de IA y Big Data.
Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados por TechForge aquí.