2024-04-28 07:54:02
Le référentiel mondial de logiciels GitHub a publié les premiers résultats de ses exigences d’authentification à deux facteurs (2FA) pour les contributeurs de code. Cela a été annoncé pour la première fois en 2022 et déployé tout au long de 2023, pour sécuriser les comptes des développeurs et prévenir les attaques de la chaîne d’approvisionnement.
GitHub affirme que les premiers résultats de cette initiative auront un impact durable sur la sécurité de l’écosystème logiciel.
Outre une augmentation spectaculaire de l’adoption de 2FA sur GitHub.com, axée sur les utilisateurs qui ont l’impact le plus critique sur la chaîne d’approvisionnement logicielle, GitHub a constaté une réduction nette du volume de tickets d’assistance liés à 2FA. En outre, d’autres organisations comme RubyGems, PyPI et AWS se sont jointes pour relever la barre pour l’ensemble de la chaîne d’approvisionnement logicielle. GitHub affirme qu’il s’agit non seulement d’une étape de sécurité importante pour l’industrie dans son ensemble, mais prouve également que l’augmentation importante de l’adoption de 2FA ne constitue pas un défi insurmontable.
Responsable de la sécurité de GitHub Mike Hanley a déclaré : « Bien que la technologie ait considérablement progressé pour lutter contre la prolifération de menaces de sécurité sophistiquées, la réalité est que la prévention de la prochaine cyberattaque dépend de la mise en place de bonnes bases de sécurité, et les efforts visant à sécuriser l’écosystème logiciel doivent protéger les développeurs qui conçoivent, construisent et maintenir le logiciel dont nous dépendons tous.
« En tant que siège de la plus grande communauté de développeurs au monde, GitHub occupe une position unique pour contribuer à améliorer la sécurité de la chaîne d’approvisionnement logicielle. En mai 2022, nous introduit une initiative visant à relever la barre en matière de sécurité de la chaîne d’approvisionnement en s’attaquant au premier maillon de cette chaîne : la sécurité des développeurs. Parce que l’authentification multifacteur forte reste l’une des meilleures défenses contre le piratage de compte et la compromission ultérieure de la chaîne d’approvisionnement, nous nous sommes fixé un objectif ambitieux : exiger des utilisateurs qui contribuent du code sur GitHub.com qu’ils activent une ou plusieurs formes de 2FA d’ici la fin de 2023. “
« Ce qui a suivi, c’est l’équivalent d’un an d’investissements dans la recherche et le design autour du mise en œuvre de ces exigences, pour optimiser une expérience transparente pour les développeurs, suivi d’un déploiement progressif pour garantir une intégration réussie des utilisateurs tout en continuant à faire évoluer nos exigences. Bien que nos efforts pour garantir que les développeurs puissent être aussi sécurisés que possible sur GitHub.com ne s’arrêtent pas là, nous partageons aujourd’hui les résultats de la première phase de notre inscription 2FA, avec un appel à davantage d’organisations pour mettre en œuvre des exigences similaires dans leur propre plates-formes », a ajouté Hanley.
Depuis que GitHub a commencé à déployer le 2FA obligatoire en mars 2023, il a enregistré un taux d’adhésion de près de 95 % parmi les contributeurs de code qui ont reçu l’exigence 2FA en 2023, et les inscriptions continuent d’affluer. augmentation de l’adoption de 2FA parmi tous les contributeurs actifs sur GitHub.com.
L’un des principaux objectifs de cette initiative était d’encourager les utilisateurs à adopter des moyens plus sécurisés de 2FA, en particulier clés d’accès qui offrent actuellement la meilleure combinaison de sécurité et de convivialité. Depuis que GitHub a publié les clés d’accès à la version bêta publique dans juillet 2023, près de 1,4 million de mots de passe ont été enregistrés sur GitHub.com. Plus impressionnant encore, les mots de passe ont rapidement dépassé les autres formes de 2FA soutenu par Webauthn dans l’utilisation quotidienne.
Bien que GitHub soit optimiste sur les mots de passe, le site continue de prendre en charge les SMS comme option 2FA pour ceux qui ne sont peut-être pas en mesure d’adopter d’autres facteurs, mais a intentionnellement fait des choix de conception dans les flux de travail d’intégration 2FA pour encourager les utilisateurs à adopter des alternatives plus sécurisées lorsque cela est possible. Ce travail a réduit la part globale des SMS comme deuxième facteur de près de 23 % entre début 2023 et début 2024. GitHub voit un avenir dans lequel les mots de passe seront le premier choix pour la majorité des développeurs de la plateforme.
Enfin, grâce à l’amélioration de l’expérience d’inscription et au déploiement des clés d’accès de GitHub, les données montrent qu’il est 47 % plus probable que les utilisateurs configurent deux formes ou plus de 2FA. Chaque facteur supplémentaire rend beaucoup moins probable qu’un utilisateur donné perde tous ses facteurs et se retrouve bloqué, ce qui se traduit par une expérience utilisateur plus fluide et plus fiable.
GitHub a investi dans un certain nombre d’améliorations, notamment des flux d’intégration 2FA actualisés, l’ajout de GitHub Mobile 2FA et davantage d’options utilisateur en termes de principaux facteurs 2FA, pour aider les développeurs à utiliser une sécurité de compte renforcée tout en respectant notre promesse d’une expérience utilisateur transparente. Alors que l’on pourrait raisonnablement s’attendre à une augmentation des tickets d’assistance liés à 2FA à mesure que l’utilisation relative augmente sur la plateforme, GitHub a constaté le contraire. En raison des investissements importants dans l’expérience utilisateur et la conception avant le déploiement, GitHub a constaté une réduction d’un tiers des tickets d’assistance liés à 2FA.
De plus, une optimisation et une automatisation supplémentaires du flux de travail interne pour les équipes d’assistance de GitHub ont conduit à une réduction de 54 % des tickets d’assistance pour la récupération de compte 2FA qui nécessitent une intervention humaine importante. Aujourd’hui, plus de 75 % des tickets de récupération de compte transitent par le flux de travail intégré au produit, qui collecte les détails de récupération auprès des utilisateurs et vérifie automatiquement les facteurs de risque, ainsi que les scénarios sûrs (comme effectuer une récupération de compte alors que vous êtes toujours connecté). Cette collecte de données et cette vérification réduisent considérablement le temps nécessaire aux équipes d’assistance pour examiner ces tentatives de récupération, permettant aux utilisateurs verrouillés de revenir en toute sécurité à leurs comptes plus rapidement que jamais et permettant à GitHub d’étendre l’inscription 2FA à des millions d’utilisateurs.
GitHub a également introduit un Contrôle de vérification 2FA cela se produit 28 jours après la configuration de 2FA, pour garantir que les utilisateurs ont la possibilité de vérifier leur configuration. Cette vérification était une sécurité qui a aidé 25 % des utilisateurs à reconfigurer avec succès leurs comptes s’ils commettaient une erreur ou perdaient un facteur, évitant ainsi le verrouillage du compte pour l’utilisateur et réduisant considérablement le volume de prise en charge de la récupération de compte pour GitHub.
Même si l’objectif principal de la campagne 2FA de GitHub était de sécuriser les développeurs sur sa plateforme, elle a été intentionnellement transparente dans le but d’inciter davantage d’organisations à répondre à l’appel. L’activité de GitHub montre qu’il est possible de relever considérablement la barre en matière de sécurité, sans impact négatif sur l’expérience utilisateur.
#GitHub #publie #les #résultats #campagne #2FA #pour #sécuriser #développement #logiciel #dans #monde
1714285056