GITHUB IMPLEMENTARA 2FA A FINES DE 2023

GitHub requerirá que todos los usuarios que aporten código en la plataforma habiliten la autenticación de dos factores (2FA) como medida de protección adicional en sus cuentas para fines de 2023.

La autenticación de dos factores aumenta la seguridad de las cuentas al introducir un paso adicional en el proceso de inicio de sesión que requiere ingresar un código único.

Para los usuarios de GitHub, la apropiación de cuentas puede llevar a la introducción de código malicioso para ataques a la cadena de suministro que, según la popularidad del proyecto, puede tener un impacto de gran alcance.

La imposición de 2FA como medida obligatoria para todas las cuentas de GitHub hará de la plataforma un espacio más seguro donde los usuarios puedan sentirse más seguros sobre la calidad del código que descargan de los repositorios.

A principios de año, la plataforma de alojamiento y colaboración de software anunció una decisión similar que afectaba a los desarrolladores activos de proyectos de alto impacto con más de un millón de descargas por semana o más de 500 dependientes.

Hoy, el requisito 2FA se expande a toda la base de usuarios, cubriendo aproximadamente 83 millones de usuarios.

Si bien GitHub había anunciado esta decisión anteriormente , ahora ha compartido más detalles sobre cómo implementará la nueva medida.

Implementación del requisito 2FA

GitHub implementará 2FA obligatorio en todas las cuentas de GitHub a partir de marzo de 2023, impulsándolo al principio a grupos seleccionados de contribuyentes.

El lanzamiento de la función se evaluará antes de escalar a grupos más grandes, midiendo las tasas de incorporación, el bloqueo y la recuperación de cuentas y los volúmenes de tickets de soporte.

GitHub dice que el grupo de grupos más grandes se creará utilizando los siguientes criterios:

• Usuarios que publicaron aplicaciones o paquetes de GitHub u OAuth
• Usuarios que crearon un lanzamiento
• Usuarios que son administradores de empresas y organizaciones
• Usuarios que contribuyeron con código a repositorios considerados críticos por npm, OpenSSF, PyPI o RubyGems
• Usuarios que contribuyeron con código a aproximadamente los cuatro millones principales de repositorios públicos y privados

Aquellos que reciban un aviso previo para habilitar 2FA por correo electrónico tendrán un período de 45 días para hacerlo.

Al llegar a la fecha límite, los usuarios comenzarán a ver un mensaje para habilitar 2FA en GitHub durante otra semana y, si no toman medidas, se les bloqueará el acceso a las funciones de GitHub.

“Este período de repetición de una semana solo comienza cuando inicia sesión después de la fecha límite, por lo que si está de vacaciones, no se preocupe, no volverá a quedarse sin acceso a GitHub.com”, aclara el anuncio .

Veintiocho días después de habilitar 2FA, los usuarios se someterán a una revisión obligatoria para confirmar que la nueva configuración de seguridad funciona como se espera y les permite reconfigurar sus configuraciones 2FA y recuperar cualquier código perdido.