GitHub、全てのコード提供者に2要素認証を義務付け–2023年末までに

今回は「GitHub、全てのコード提供者に2要素認証を義務付け–2023年末までに」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoft傘下のGitHubは、開発者と2要素認証(2FA)セキュリティに関する新たなルールを導入する。

 GitHubは米国時間5月4日、「アカウントのセキュリティ向上を通じて、ソフトウェアエコシステムの安全性を確保するプラットフォーム全体の取り組みの一環」として、既存の認証ルールを変更することを明らかにした。

 GitHubの最高セキュリティ責任者(CSO)Mike Hanley氏によると、GitHubにコードを提供するすべての開発者は、2023年末までに、少なくとも1つの形式の2FAを有効化しなければならない。

 オープンソースプロジェクトは人気が高く、広範に利用されており、個人と企業の両方にとって重要なリソースだ。しかし、開発者のアカウントが攻撃者に侵害されると、レポジトリーの乗っ取り、データの窃盗、プロジェクトの中断などを招く可能性がある。

 Salesforce傘下のクラウドプラットフォームプロバイダーHerokuは、4月にセキュリティインシデントがあったことを公表した。OAuthトークンが盗まれ、同社のプライベートGitリポジトリーのサブセットが侵害されたため、顧客リポジトリーが不正にアクセスされる可能性があった。

 GitHubによると、ソフトウェアのサプライチェーンは「開発者から始まる」ため、これを念頭に置いて、管理を強化してきた。また開発者は、「頻繁にソーシャルエンジニアリングとアカウント乗っ取りの標的にされている」という。

 最近、GitHubのnpmレジストリーに不正なパッケージがアップロードされたことで、ソフトウェアサプライチェーンのセキュリティが注目を集めた。

 多くの場合、オープンソースプロジェクトに打撃を与えるのは、ゼロデイ脆弱性ではない。弱いパスワードや盗まれた情報など、基本的な脆弱性がサイバー攻撃で悪用される。

 しかしGitHubは、セキュリティ強化とユーザー体験の間にトレードオフがあることを認識している。そのため2023年という期限は、組織がGitHubドメインを「最適化」するための猶予期間にもなる。

 GitHubにとって、2FA導入は差し迫った問題になっているようだ。GitHubで、何らかの2FAを使用しているアクティブユーザーは16.5%、npmユーザーにいたっては、わずか6.44%にとどまっている。

 GitHubはすでに、ユーザー名とパスワードだけを用いる基本的な認証方法は不十分だという考えを示しており、OAuthトークンもしくはAccessトークンの統合を推奨している。また、2FAが有効化されていないアカウント向けに、電子メールを用いたデバイス認証も導入している。

 「ソフトウェアサプライチェーンの全体的なセキュリティを改善すべく、プラットフォームと業界に深く投資しているが、アカウントの侵害という継続的なリスクに対処しなければ、そうした投資の価値は根本的に制限されてしまう」と、Hanley氏は説明した。「われわれはこの課題に対応するために、個々の開発者の安全性に対する慣習を通じて、サプライチェーンのセキュリティ向上に取り組んでいく」

COMMENTS


Recommended

TITLE
CATEGORY
DATE
企業はコンポジットAIシステムを構築する–クアルトリクスのAI戦略プレジデント
IT関連
2024-05-14 23:39
感染予防を分かりやすく解説した「はたらく細胞」、学校や病院に無償で 英語版とヒンディー語版も配信
くらテク
2021-06-20 08:57
THE SEEDが上場企業経営経験者が「インターン」メンターとして参画するプログラムをClubhouseで開始
VC / エンジェル
2021-02-19 20:05
2022年下期のランサムウェアの脅威と対策の傾向
IT関連
2022-12-30 02:55
Ubisoft、ゲームキャラを自然に動かせる低コストな深層学習モデルを開発 :Innovative Tech
イラスト・デザイン
2021-03-24 08:17
8万人以上が利用する心のセルフケア・トレーニングアプリ「Awarefy」運営のHakaliが1億円のシード調達
ヘルステック
2021-07-10 12:34
富士通、カスタマーサービスに生成AIを活用–コンタクトセンターの業務効率化など目指す
IT関連
2024-03-23 19:28
園児の発熱を前日に予測、保育士へ対応促すセンサー 保育施設向けに提供
企業・業界動向
2021-05-15 11:40
コロナ対策から一つの選択肢へ–SNSのエキスパートが聞く、オンライン接客の現在地点
IT関連
2021-03-11 11:05
PUDU、ロボットのフロア間移動を実現–建物設備と連携でゲート通過も
IT関連
2024-10-24 04:26
東南アジアの生鮮食品を小口直販するB2BプラットフォームSECAI MARCHEが1.5億円を調達
フードテック
2021-05-19 16:32
プログラミング学習のProgate、オブザーバビリティを導入–受講者に無料講座も
IT関連
2024-06-27 12:47
個人情報の誤掲載をAIで検知 情報漏えいの拡大を抑えるWebサイト監視サービス
ロボット・AI
2021-06-23 02:16
NEC、車両制御用設備を受注–羽田空港制限区域内のレベル4自動運行実現へ
IT関連
2024-08-28 03:21