GitHub、全てのコード提供者に2要素認証を義務付け–2023年末までに

今回は「GitHub、全てのコード提供者に2要素認証を義務付け–2023年末までに」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoft傘下のGitHubは、開発者と2要素認証(2FA)セキュリティに関する新たなルールを導入する。

 GitHubは米国時間5月4日、「アカウントのセキュリティ向上を通じて、ソフトウェアエコシステムの安全性を確保するプラットフォーム全体の取り組みの一環」として、既存の認証ルールを変更することを明らかにした。

 GitHubの最高セキュリティ責任者(CSO)Mike Hanley氏によると、GitHubにコードを提供するすべての開発者は、2023年末までに、少なくとも1つの形式の2FAを有効化しなければならない。

 オープンソースプロジェクトは人気が高く、広範に利用されており、個人と企業の両方にとって重要なリソースだ。しかし、開発者のアカウントが攻撃者に侵害されると、レポジトリーの乗っ取り、データの窃盗、プロジェクトの中断などを招く可能性がある。

 Salesforce傘下のクラウドプラットフォームプロバイダーHerokuは、4月にセキュリティインシデントがあったことを公表した。OAuthトークンが盗まれ、同社のプライベートGitリポジトリーのサブセットが侵害されたため、顧客リポジトリーが不正にアクセスされる可能性があった。

 GitHubによると、ソフトウェアのサプライチェーンは「開発者から始まる」ため、これを念頭に置いて、管理を強化してきた。また開発者は、「頻繁にソーシャルエンジニアリングとアカウント乗っ取りの標的にされている」という。

 最近、GitHubのnpmレジストリーに不正なパッケージがアップロードされたことで、ソフトウェアサプライチェーンのセキュリティが注目を集めた。

 多くの場合、オープンソースプロジェクトに打撃を与えるのは、ゼロデイ脆弱性ではない。弱いパスワードや盗まれた情報など、基本的な脆弱性がサイバー攻撃で悪用される。

 しかしGitHubは、セキュリティ強化とユーザー体験の間にトレードオフがあることを認識している。そのため2023年という期限は、組織がGitHubドメインを「最適化」するための猶予期間にもなる。

 GitHubにとって、2FA導入は差し迫った問題になっているようだ。GitHubで、何らかの2FAを使用しているアクティブユーザーは16.5%、npmユーザーにいたっては、わずか6.44%にとどまっている。

 GitHubはすでに、ユーザー名とパスワードだけを用いる基本的な認証方法は不十分だという考えを示しており、OAuthトークンもしくはAccessトークンの統合を推奨している。また、2FAが有効化されていないアカウント向けに、電子メールを用いたデバイス認証も導入している。

 「ソフトウェアサプライチェーンの全体的なセキュリティを改善すべく、プラットフォームと業界に深く投資しているが、アカウントの侵害という継続的なリスクに対処しなければ、そうした投資の価値は根本的に制限されてしまう」と、Hanley氏は説明した。「われわれはこの課題に対応するために、個々の開発者の安全性に対する慣習を通じて、サプライチェーンのセキュリティ向上に取り組んでいく」

COMMENTS


Recommended

TITLE
CATEGORY
DATE
富士通とNECの中期経営計画–現在地を読み解く
IT関連
2022-05-03 11:20
オンラインキャリアカウンセリング「ミートキャリア」を運営するfruorが4500万円のシード調達
HRテック
2021-06-03 10:56
ChatGPTに回答の参考文献を提示させるには
IT関連
2023-03-21 20:53
「Linux」仮想マシンを「VirtualBox」を使って作成するには
IT関連
2022-08-26 10:40
primeNumber、「trocco」を海外展開–5年で2000社の導入目指す
IT関連
2022-03-09 01:05
スタディスト、マニュアル作成と活用システムでAI機能を大幅強化
IT関連
2025-03-27 20:45
医療研究/エネルギー産業へのサイバー攻撃に「Lazarus」が関与–ウィズセキュアが調査
IT関連
2023-02-03 14:56
【インタビュー】人工流れ星の2023年に商用運用開始へ、10年の節目を迎える日本の宇宙スタートアップ「ALE」
宇宙
2021-07-17 03:08
心臓リハビリ治療用アプリなどを開発するCaTeが1億円のシード調達、プロダクト開発と臨床研究を加速
IT関連
2022-03-12 16:48
勝利予測からハイライト作成まで–IBM、ウィンブルドンで選手の最新情報提供
IT関連
2024-07-03 07:03
DNP、自治体向け「メタバース役所」の共同利用モデルを提供
IT関連
2024-07-27 15:50
NTT東日本と東京大学、産学協創協定を締結–地域循環型社会の実現へ
IT関連
2024-04-19 06:04
Honda、AWS上に仮想車両開発環境を構築–SDVの実現に向けた協業へ
IT関連
2025-01-10 14:50
リミニストリート、「Rimini Manage for Workday」を発表
IT関連
2025-04-04 05:37