En un mundo donde la seguridad informática se ha convertido en una prioridad esencial, lograr prevenir el próximo ciberataque depende de acertar con los fundamentos básicos de la seguridad. Es imprescindible proteger a los desarrolladores que diseñan, construyen y mantienen el software del cual dependemos todos. GitHub, hogar de la mayor comunidad de desarrolladores del mundo, está en una posición única para mejorar la seguridad de la cadena de suministro de software. En mayo de 2022, GitHub lanzó una iniciativa para elevar el estándar de seguridad de la cadena de suministro, centrada en la protección de los desarrolladores.
Uno de los objetivos principales fue hacer que los usuarios que contribuyen con código en GitHub.com habiliten uno o más métodos de autenticación de dos factores (2FA) para finales de 2023, ya que esta sigue siendo una de las mejores defensas contra la toma de control de cuentas y el compromiso subsecuente de la cadena de suministro. Tras un año de inversiones en investigación y diseño, GitHub comenzó a implementar gradualmente estos requisitos, asegurando una experiencia de usuario fluida y eficaz.
Los resultados de la primera fase de inscripción a 2FA son prometedores. Hubo un aumento dramático en la adopción de 2FA en GitHub.com, especialmente entre los usuarios con un impacto crítico en la cadena de suministro de software. Además, se observó un uso creciente de métodos más seguros de 2FA, como las passkeys, mientras que el volumen de tickets de soporte relacionados con 2FA se redujo significativamente.
Desde marzo de 2023, cuando comenzó la obligatoriedad de 2FA, la tasa de inscripción alcanzó casi el 95% entre los contribuyentes de código que recibieron el requisito de 2FA, y las inscripciones continúan llegando. Esto ha generado un aumento del 54% en la adopción de 2FA entre todos los contribuyentes activos.
Además, la iniciativa incentivó a los usuarios a adoptar medios más seguros de autenticación. Desde que las passkeys estuvieron disponibles en beta pública en julio de 2023, casi 1.4 millones de passkeys han sido registradas en GitHub.com. Las passkeys rápidamente superaron otros métodos de 2FA basados en Webauthn.
Para 2024, GitHub promete continuar fortaleciendo la seguridad de la plataforma y el ecosistema de software en general, investigando características adicionales de seguridad de cuentas y promoviendo el uso de formas más seguras de autenticación. La meta es lograr que más usuarios de GitHub.com se inscriban en 2FA, mejorando y monitoreando la experiencia del usuario, y explorando formas seguras y eficientes de hacer más accesibles estas herramientas.
GitHub hace un llamado a otras organizaciones para que implementen requisitos similares, elevando así la seguridad globalmente sin afectar negativamente la experiencia del usuario. La tarea de asegurar tanto a los desarrolladores como a la cadena de suministro del software es un esfuerzo continuo, y GitHub está comprometido en liderar este camino.