GitHub、全てのコード提供者に2要素認証を義務付け–2023年末までに

今回は「GitHub、全てのコード提供者に2要素認証を義務付け–2023年末までに」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoft傘下のGitHubは、開発者と2要素認証(2FA)セキュリティに関する新たなルールを導入する。

 GitHubは米国時間5月4日、「アカウントのセキュリティ向上を通じて、ソフトウェアエコシステムの安全性を確保するプラットフォーム全体の取り組みの一環」として、既存の認証ルールを変更することを明らかにした。

 GitHubの最高セキュリティ責任者(CSO)Mike Hanley氏によると、GitHubにコードを提供するすべての開発者は、2023年末までに、少なくとも1つの形式の2FAを有効化しなければならない。

 オープンソースプロジェクトは人気が高く、広範に利用されており、個人と企業の両方にとって重要なリソースだ。しかし、開発者のアカウントが攻撃者に侵害されると、レポジトリーの乗っ取り、データの窃盗、プロジェクトの中断などを招く可能性がある。

 Salesforce傘下のクラウドプラットフォームプロバイダーHerokuは、4月にセキュリティインシデントがあったことを公表した。OAuthトークンが盗まれ、同社のプライベートGitリポジトリーのサブセットが侵害されたため、顧客リポジトリーが不正にアクセスされる可能性があった。

 GitHubによると、ソフトウェアのサプライチェーンは「開発者から始まる」ため、これを念頭に置いて、管理を強化してきた。また開発者は、「頻繁にソーシャルエンジニアリングとアカウント乗っ取りの標的にされている」という。

 最近、GitHubのnpmレジストリーに不正なパッケージがアップロードされたことで、ソフトウェアサプライチェーンのセキュリティが注目を集めた。

 多くの場合、オープンソースプロジェクトに打撃を与えるのは、ゼロデイ脆弱性ではない。弱いパスワードや盗まれた情報など、基本的な脆弱性がサイバー攻撃で悪用される。

 しかしGitHubは、セキュリティ強化とユーザー体験の間にトレードオフがあることを認識している。そのため2023年という期限は、組織がGitHubドメインを「最適化」するための猶予期間にもなる。

 GitHubにとって、2FA導入は差し迫った問題になっているようだ。GitHubで、何らかの2FAを使用しているアクティブユーザーは16.5%、npmユーザーにいたっては、わずか6.44%にとどまっている。

 GitHubはすでに、ユーザー名とパスワードだけを用いる基本的な認証方法は不十分だという考えを示しており、OAuthトークンもしくはAccessトークンの統合を推奨している。また、2FAが有効化されていないアカウント向けに、電子メールを用いたデバイス認証も導入している。

 「ソフトウェアサプライチェーンの全体的なセキュリティを改善すべく、プラットフォームと業界に深く投資しているが、アカウントの侵害という継続的なリスクに対処しなければ、そうした投資の価値は根本的に制限されてしまう」と、Hanley氏は説明した。「われわれはこの課題に対応するために、個々の開発者の安全性に対する慣習を通じて、サプライチェーンのセキュリティ向上に取り組んでいく」

COMMENTS


Recommended

TITLE
CATEGORY
DATE
NVIDIA、「Grace CPU」と新たなデータセンター向け製品ロードマップを示す
IT関連
2021-04-13 19:43
セールスフォース、ワクチン接種管理の「Vaccine Cloud」アップデート–予約を効率的に
IT関連
2021-04-09 02:12
「AIで勤怠監視」 自動車教習への導入始まる
IT関連
2021-07-20 17:47
AirPods Maxの供給不足は3月まで続く可能性 ティム・クックCEOが説明
IT関連
2021-01-29 20:08
インテル、Intel ArcやNVIDIA、AMDのGPUに対応した最新コンパイラ技術を含む開発ツールキット「oneAPI ツールキット 2023」リリース[PR]
Intel
2023-03-06 06:07
日本テラデータ、多様な顧客情報を一つに統合する「Connected Identity」を国内提供
IT関連
2022-03-31 07:07
製造業での「2025年の崖」認知度が低い状況に–八千代ソリューションズ調査
IT関連
2025-01-23 05:21
岡山大学と両備システムズ、早期胃がんの深達度を判定するAIを開発
IT関連
2024-04-26 22:48
フェイスブックが自動モデレーション機能などのグループ管理者向け新ツール発表
ネットサービス
2021-06-29 13:26
Google、揺れやミスのある住所表記を検証、正確な住所の推定、標準的な住所表記などを出力する「Address Validation API」正式リリース。米国や欧州などから順次展開
Google
2022-11-11 02:21
バス運賃をVISAタッチ決済で 北海道の空港連絡バスが今春開始
企業・業界動向
2021-01-21 14:33
アバナード、神戸市の「Microsoft AI Co-Innovation Lab」に参画–AI/IoTで変革支援
IT関連
2023-10-20 08:32
米ガートナー「先進テクノロジーのハイプサイクル2023年」を発表。GitOpsは黎明期、生成的AIとクラウドネイティブは過度な期待のピーク
業界動向
2023-08-18 09:57
[速報]文書のレイアウトやフォントはそのままAIで135カ国語に翻訳する「Translation Hub」、Google Cloudが発表。Google Cloud Next '22
Google Cloud
2022-10-12 08:23