GitHub говорит, что вводит новые правила, касающиеся безопасности и двухфакторной аутентификации (2ФА). К концу 2023 года все пользователи, участвующие в разработке и вносящие код на платформу, должны будут включить двухфакторную аутентификацию в своих учетных записях.

Представители платформы пишут, что GitHub является «домом для всех разработчиков» и находится в уникальной позиции, которая позволяет «поднимать планку безопасности в экосистеме разработки ПО».

Учитывая, что в последнее время количество атак на цепочки поставок растет, в GitHub приняли решение до конца 2023 года сделать 2ФА обязательной для обеспечения наилучшей безопасности всех учетных записей разработчиков на GitHub.com и предотвращения взломов других репозиториев.

Новые правила будут распространяться на всех активных участников, включая пользователей GitHub, которые коммитят код, используют Actions, используют pull request’ы и публикуют пакеты. Разработчики смогут использовать один или несколько вариантов двухфакторной аутентификации, включая аппаратные и виртуальные ключи безопасности (в том числе встроенные в такие устройства, как телефоны и ноутбуки), а также TOTP-приложения и SMS-сообщения. Впрочем, последний вариант GitHub использовать не рекомендует, так как обойти или похитить токены аутентификации из SMS не так уж трудно.

Согласно официальной статистике, в настоящее время только 16,5% активных пользователей GitHub и 6,44% пользователей npm используют 2ФА в какой-либо форме.