A pesar de los significativos avances tecnológicos para combatir la proliferación de amenazas de seguridad sofisticadas, la realidad es que prevenir el próximo ciberataque depende de manejar correctamente los conceptos básicos de seguridad, y los esfuerzos para asegurar el ecosistema de software deben proteger a los desarrolladores que diseñan, construyen y mantienen el software del cual dependemos.
Siendo el hogar de la comunidad de desarrolladores más grande del mundo, GitHub está en una posición única para ayudar a mejorar la seguridad de la cadena de suministro de software. En mayo de 2022, la plataforma introdujo una iniciativa para elevar el nivel de seguridad de la cadena de suministro, enfocándose en el primer eslabón de esa cadena: la seguridad de los desarrolladores. Dado que la autenticación multifactor (2FA) es una de las mejores defensas contra la toma de cuentas y compromisos subsecuentes de la cadena de suministro, GitHub estableció un ambicioso objetivo para que los usuarios que contribuyen con código en GitHub.com habiliten una o más formas de 2FA para finales de 2023.
Lo que siguió fue un año de inversiones en investigación y diseño en torno a la implementación de estos requisitos, optimizando para una experiencia fluida para los desarrolladores, seguido de un despliegue gradual para asegurar una incorporación exitosa de los usuarios a medida que la escala de los requisitos aumentaba. Mientras los esfuerzos para asegurar a los desarrolladores en GitHub.com continúan, se compartieron los resultados de la primera fase de la inscripción en 2FA, haciendo un llamado a más organizaciones para que implementen requisitos similares en sus propias plataformas.
Los logros iniciales de la iniciativa de 2023 son motivo de orgullo, con un impacto significativo en la mejora de la seguridad del ecosistema de software. Se observó un aumento dramático en la adopción de 2FA en GitHub.com, concentrado en usuarios que tienen un impacto crítico en la cadena de suministro de software. Además, los usuarios adoptaron medios más seguros de 2FA, incluyendo llaves de paso.
Desde el inicio del despliegue obligatorio de 2FA en marzo de 2023, se ha visto una tasa de aceptación de casi el 95% entre los contribuyentes de código que recibieron el requisito de 2FA en 2023, y las inscripciones continúan llegando. Esto ha llevado a un aumento del 54% en la adopción de 2FA entre todos los contribuyentes activos en GitHub.com.
Un área clave fue fomentar que los usuarios adopten medios más seguros de 2FA, especialmente las llaves de paso, que actualmente ofrecen la mejor combinación de seguridad y usabilidad. Desde que se lanzaron las llaves de paso en beta pública en julio de 2023, se han registrado casi 1,4 millones de llaves de paso en GitHub.com. Además, estas llaves superaron rápidamente a otros tipos de 2FA respaldados por Webauthn en uso diario.
GitHub sigue ofreciendo flexibilidad, fiabilidad y seguridad en los métodos de autenticación, especialmente para aquellos que no pueden acceder a tecnologías más avanzadas. Siguen apoyando el uso de SMS como una opción de 2FA, pero han hecho elecciones de diseño para fomentar alternativas más seguras. Este trabajo redujo la proporción de SMS como segundo factor en casi un 25% entre principios de 2023 y principios de 2024.
Los datos muestran que es un 47% más probable que los usuarios configuren dos o más formas de 2FA, lo que reduce la probabilidad de bloqueo de cuentas y mejora la experiencia del usuario. Además, la inversión en experiencia de usuario y diseño previa al despliegue resultó en una reducción de un tercio en los tickets de soporte relacionados con 2FA.
Internamente, la optimización y automatización del flujo de trabajo para los equipos de soporte de GitHub llevó a una reducción del 54% en los tickets de recuperación de cuentas que requerían intervención humana significativa. Hoy, más del 75% de los tickets de recuperación de cuentas provienen del flujo de trabajo en el producto.
Sabemos que aún hay mucho trabajo por hacer para apoyar a los usuarios sin acceso a un teléfono o control sobre el software de sus computadoras para adoptar 2FA. Creemos que todos deben tener acceso a herramientas que hagan el desarrollo de software más fácil y seguro. Seguiremos buscando soluciones para proteger a los desarrolladores, sus proyectos y las comunidades en las que participan.
Animamos a otras organizaciones a considerar seriamente la implementación de requisitos de 2FA en sus propias plataformas. ¡Es posible elevar significativamente el nivel de seguridad sin afectar negativamente la experiencia del usuario! Para más información sobre cómo GitHub puede ayudar a asegurar su código de manera fácil, visiten GitHub Universe 2024, donde exploraremos las mejores prácticas en seguridad centrada en el desarrollador.
vía: GitHub Security
