GitHub exigera de tous les utilisateurs qui contribuent au code sur la plateforme d'activer l'authentification à deux facteurs (2FA) comme mesure de protection supplémentaire sur leurs comptes d'ici la fin de 2023.

Pour les utilisateurs de GitHub, environ 94 millions d'utilisateurs, les prises de contrôle de comptes peuvent conduire à l'introduction de codes malveillants pour des attaques de la chaîne d'approvisionnement qui, selon la popularité du projet, peuvent avoir un impact considérable.

Imposer le 2FA comme mesure obligatoire pour tous les comptes GitHub rendra la plateforme un espace plus sûr où les utilisateurs pourront se sentir plus confiants quant à la qualité du code qu'ils téléchargent depuis les dépôts.

Le déploiement de la fonctionnalité sera évalué avant d'être étendu à des groupes plus importants, en mesurant les taux d'intégration, le verrouillage et la récupération des comptes, ainsi que les volumes de tickets d'assistance.

GitHub indique que les groupes seront constitués pour les utilisateurs qui ont publié des applications ou des paquets GitHub ou OAuth, pour les utilisateurs qui ont créé une release, pour les utilisateurs qui sont des administrateurs d'entreprise et d'organisation, pour les utilisateurs qui ont contribué au code des dépôts jugés critiques par npm, OpenSSF, PyPI ou RubyGems et pour les utilisateurs qui ont contribué au code des quelque quatre millions de dépôts publics et privés les plus importants.

Les personnes qui ont été informées à l'avance par courrier électronique qu'elles devaient activer le système 2FA disposeront d'un délai de 45 jours pour le faire. À l'expiration de ce délai, les utilisateurs seront invités une deuxième fois à activer ce système pendant une semaine supplémentaire. S'ils n'agissent pas, ils ne pourront plus accéder aux fonctionnalités de GitHub.

Vingt-huit jours après l'activation de 2FA, les utilisateurs seront soumis à un contrôle obligatoire pour confirmer que la nouvelle configuration de sécurité fonctionne comme prévu, tout en permettant aux utilisateurs de reconfigurer leurs paramètres 2FA et de récupérer tout code perdu.