La herramienta de desarrollo de software GitHub requerirá más cuentas para habilitar la autenticación de dos factores (2FA) a partir del 13 de marzo. Ese mandato se extenderá a todos los desarrolladores que aporten código en GitHub.com para fines de 2023.
GitHub anunció su plan para implementar un requisito 2FA en una publicación de blog en mayo pasado. En ese momento, el director de seguridad de la compañía dijo que GitHub estaba haciendo el movimiento porque (que es utilizado por millones de desarrolladores de software en todo el mundo en innumerables industrias) es una parte vital de la cadena de suministro de software. Dicha cadena de suministro ha sido objeto de varios ataques en los últimos años y meses, y 2FA es una fuerte defensa contra la ingeniería social y otros métodos de ataque particularmente comunes.
Cuando se escribió esa publicación de blog, GitHub reveló que solo alrededor del 16,5 por ciento de los usuarios activos de GitHub usaban 2FA, mucho menos de lo que cabría esperar de los tecnólogos que deberían conocer su valor.
En diciembre, GitHub presentó los detalles del plan que entrará en vigencia para más personas en unos pocos días. La empresa identificará subconjuntos específicos de usuarios necesarios para subirse al carro primero, como miembros de la empresa y de la organización, usuarios que contribuyeron con código a repositorios críticos, etc.
Esos usuarios reciben recordatorios periódicos dentro del producto y por correo electrónico 45 días antes de que el requisito entre en vigencia. A partir de su primer inicio de sesión después de la fecha límite de 2FA, reciben recordatorios diarios para habilitar 2FA. Si aún no lo han hecho siete días después de eso, no podrán acceder a la mayoría de las funciones de GitHub hasta que lo hagan. Veintiocho días después de eso, GitHub iniciará una «verificación 2FA» para garantizar que funcione correctamente y que el usuario aún pueda acceder a su cuenta.
En el transcurso de 2023, se incluirán más y más cuentas en este proceso, y todas las cuentas de desarrolladores contribuyentes se incluirán para fines de año, dice GitHub.
Esta no es la introducción de 2FA para las cuentas de GitHub. Durante mucho tiempo, los usuarios han podido optar por 2FA para sus cuentas individuales, y las organizaciones empresariales han podido exigir 2FA a todos los miembros durante un tiempo.
GitHub también ha estado implementando gradualmente el requisito para tipos específicos de usuarios durante los últimos meses. Por ejemplo, anunció en diciembre que los «mantenedores de paquetes con más de 1 millón de descargas semanales o más de 500 dependientes» tendrían que habilitar 2FA. Antes de eso, requería 2FA para los colaboradores de las bibliotecas de JavaScript distribuidas a través de NPM.
Si es un usuario de GitHub, deberá estar atento a un correo electrónico o una notificación en la aplicación que le informe cuándo se agotó su boleto.