تقديم أ مصادقة متعددة العوامل لقد أتى تفويض (MFA) لمستخدمي منصتها بثماره جيثب، والتي أبلغت عن زيادة هائلة في الاعتماد خلال الأشهر الـ 12 الماضية، حيث تواصل سعيها لتحسين معايير الأمن السيبراني عبر مجتمع البرمجيات مفتوحة المصدر (OSS).
إدراك التأثير الأمني لمشكلات سلسلة توريد البرامج على آلاف المؤسسات في جميع أنحاء العالم التي تم اختراقها من خلال المشكلات الناشئة من خلال رمز OSS غير الآمن – حادثة Log4Shell كونها الأكثر شهرة – شرع GitHub في حملة لرفع مستوى أمان سلسلة التوريد من خلال مخاطبة المطورين في مايو 2022.
وكجزء من ذلك، فقد أدخلت برنامج MFA الإلزامي لمستخدمين مختارين في مارس 2023، مع التركيز في البداية على أولئك الذين يعتبرون أن لهم التأثير الأكثر أهمية على سلسلة توريد البرمجيات.
في الأشهر الـ 12 الماضية، تقول المنصة إنها شهدت معدل اختيار بنسبة 95% عبر المساهمين في الكود الذين حصلوا على متطلبات MFA، مع استمرار معدلات التسجيل حتى اليوم. وأضافت أنه على نطاق أوسع، فقد شهدت زيادة بنسبة 54٪ في اعتماد أسلوب MFA بين جميع المساهمين النشطين في المشاريع التي تستضيفها GitHub.
“على الرغم من التقدم التكنولوجي الكبير في مكافحة انتشار التهديدات الأمنية المتطورة، فإن الواقع هو أن منع الهجوم السيبراني التالي يعتمد على الحصول على أساسيات الأمان الصحيحة، ويجب أن تعمل الجهود المبذولة لتأمين النظام البيئي للبرمجيات على حماية المطورين الذين يقومون بتصميم وبناء وصيانة “البرنامج الذي نعتمد عليه جميعًا”، كتب مايك هانلي، كبير مسؤولي الأمن ونائب الرئيس الأول للهندسة في GitHub.
“باعتبارها موطنًا لأكبر مجتمع للمطورين في العالم، فإن GitHub في وضع فريد للمساعدة في تحسين أمان سلسلة توريد البرامج…. تظل MFA القوية واحدة من أفضل الدفاعات ضد الاستيلاء على الحساب والتسوية اللاحقة لسلسلة التوريد.
بالإضافة إلى دفع المطورين نحو تحسين النظافة الإلكترونية الأساسية، تقول GitHub إنها شهدت أيضًا المستخدمين يتبنون وسائل أكثر أمانًا للمصادقة متعددة العوامل (MFA) – بما في ذلك مفاتيح المرور، التي كان تقديمها محورًا رئيسيًا للمبادرة؛ لقد سجلت 1.4 مليون مفتاح مرور على GitHub.com منذ فتح الإصدار التجريبي العام في يوليو 2023 وسرعان ما تجاوزت التكنولوجيا الأشكال الأخرى من MFA المدعومة من Webauthn في الاستخدام اليومي على النظام الأساسي.
ومن أجل المرونة، تواصل تقديم أشكال أقل أمانًا من MFA، مثل رموز الرسائل القصيرة، في الوقت الحالي، على الرغم من أن هانلي قال إن GitHub حاول جعل سير عمل MFA على متن الطائرة يدفع الناس بعيدًا عن الرسائل القصيرة كخيار.
أبلغ GitHub أيضًا عن انخفاض صافي في أحجام تذاكر الدعم المتعلقة بـ MFA، والذي يُنسب إلى البحث والتصميم المكثفين المقدمين من قبل المستخدم، بالإضافة إلى بعض التحسينات في عملية دعم الواجهة الخلفية التي قام بها.
بالإضافة إلى ذلك، قال هانلي، إن قادة آخرين في OSS يشاركون أيضًا. وكتب: “انضمت إلينا منظمات مثل RubyGems، وPyPI، وAWS في رفع مستوى سلسلة توريد البرامج بأكملها، مما يثبت أن الزيادات الكبيرة في اعتماد MFA لا تمثل تحديًا لا يمكن التغلب عليه”.
دعوة للعمل
وبالنظر إلى المستقبل، قال هانلي إن نطاق المشروع أعطى الأولوية حتى الآن لمجموعات مستخدمين محددة بناءً على امتيازاتهم وإجراءاتهم، لكنه شدد على أن GitHub حريص على استكشاف كيف يمكن أن يطلب المزيد من المستخدمين للتسجيل في الأشهر الـ 12 المقبلة، وتشجيع للمطورين للارتقاء في السلسلة الغذائية إلى عوامل أكثر أمانًا مثل مفاتيح المرور، مع الحفاظ على تجربة المستخدم.
كما أنها تحقق في تنفيذ ميزات أمان الحساب الأخرى مثل ربط الجلسة والرمز المميز الذي يمكن أن يمكّن المستخدمين من إدارة مخاطر اختراق الحساب بشكل أكثر فعالية بغض النظر عما إذا كانوا مسجلين في MFA أم لا. وقال هانلي إنه لا يزال هناك الكثير من العمل الذي يتعين القيام به لدعم المستخدمين الذين قد لا يتمكنون من الوصول إلى الهاتف الذكي أو الذين ليس لديهم سيطرة على البرنامج الموجود على الكمبيوتر الذي يستخدمونه لاعتماد أسلوب MFA.
وقال هانلي: “باعتبارنا منصة عالمية، نعتقد أنه يجب أن يتمتع الجميع بإمكانية الوصول إلى الأدوات التي تجعل تطوير البرامج أسهل وأكثر أمانًا، وتستمر جهودنا لفرض مصادقة قوية لأكبر عدد ممكن من المطورين”.
“سنستمر في إيجاد حلول لحماية المطورين والمشروعات التي يعملون عليها والمجتمعات التي يشاركون فيها، وسنعمل جاهدين لاتخاذ نهج متوازن يعمل بشكل كبير على تحسين أمان سلسلة توريد البرامج بأكملها دون تقييد الأشخاص ذوي المهارات المختلفة”. قال: “الإعدادات أو البيئات حول العالم”.
بمناسبة الذكرى السنوية الأولى لبدء تفويض MFA، قالت GitHub إنه كان من الواضح أنه كان من الممكن في الواقع رفع مستوى الأمان دون التأثير سلبًا على تجربة المستخدم، وتشجع أقرانها والصناعة الأوسع، بقوة فكر في جعل MFA متطلبًا إلزاميًا على منصاتهم أيضًا.
