GitHub annonce sur son blog qu'il exigera désormais de ses utilisateurs qu'ils « activent une ou plusieurs formes d'authentification à deux facteurs (2FA) d'ici la fin de 2023 ».
« La sécurité logicielle commence par le développeur », explique la plateforme, qui évoque également la « chaîne d'approvisionnement du logiciel », maillon faible de plus en plus exploitée par les APT :
« Les comptes de développeur sont des cibles fréquentes d'ingénierie sociale et de prise de contrôle de compte, et la protection des développeurs contre ces types d'attaques est la première et la plus importante étape vers la sécurisation de la chaîne d'approvisionnement. »
GitHub avait déjà, en février dernier, exigé des principaux mainteneurs de packages npm qu'ils optent pour la 2FA, mais son adoption reste encore très faible : « Aujourd'hui, seulement environ 16,5 % des utilisateurs actifs de GitHub et 6,44 % des utilisateurs de npm utilisent une ou plusieurs formes de 2FA. »
GitHub renvoie dès lors à sa documentation sur la 2FA, et rappelle qu'il convient également, non seulement de sauvegarder ses codes de récupération, mais également de configurer une ou plusieurs méthodes de récupération de compte.