GitHub、2FAで数百万人の開発者の安全を担保

[画像6]https://digitalpr.jp/simg/1306/87303/700_273_202404251027266629b17e562f6.jpg


エコシステムへの影響
GitHubは、GitHub.com上の開発者の安全を守ることを第一に考えていましたが、GitHubとnpm（https://github.blog/2022-02-01-top-100-npm-package-maintainers-require-2fa-additional-security/
）が独自の2FA必須要件を設定した後、より多くの組織がこの呼びかけに応じることを目標に、展開のアプローチを意図的に透明化しました。2FAが正常に有効化されたユーザーアカウントはすべて、攻撃者が組織や重要なオープンソースソフトウェアを侵害するベクトルを1つ減らすことになります。この2年間で、RubyGems（https://blog.rubygems.org/2022/06/13/making-packages-more-secure.html
）、PyPI（https://blog.pypi.org/posts/2023-05-25-securing-pypi-with-2fa/
）、AWS（https://aws.amazon.com/blogs/security/security-by-design-aws-to-enhance-mfa-requirements-in-2024/
）が、GitHubの共有エコシステムとソフトウェアサプライチェーンをセキュアにするために、2FAの利用拡大を推進する取り組みに参加しました。

今後の展望
ソフトウェアサプライチェーンとそれを担当する開発者の安全を守ることに終わりはありません。初期作業では、ユーザー権限や具体的な行動の影響に基づいて、個別のユーザー・グループに優先順位をつけました（https://docs.github.com/ja/authentication/securing-your-account-with-two-factor-authentication-2fa/about-mandatory-two-factor-authentication
）。

また、2FAを採用するために、携帯電話にアクセスできなかったり、使用するコンピュータのソフトウェアを制御できなかったりするユーザーをサポートするための、業界全体の重要な作業もまだ残っています。グローバル・プラットフォームであるGitHubは、誰もがソフトウェアを開発でき、より簡単でセキュアなものにするためのツールにアクセスできるべきだと考えており、開発者に強力な認証を導入するための取り組みも継続中です。GitHubは、開発者自身、開発者が取り組んでいるプロジェクト、開発者が参加しているコミュニティを保護するためのソリューションを見つけ出すことを続け、世界中の異なるセットアップや環境を持つ人々を制限することなく、ソフトウェアサプライチェーン全体のセキュリティを大幅に向上させるバランスの取れたアプローチを取るよう努力していきます。