GitHub tem uma versão para desktop que acaba de ficar mais fácil de se usarComo usar o GitHub? [guia para iniciantes]
Pode parecer exagero, principalmente para quem usa o GitHub em projetos esporádicos ou pessoais. Mas, quando o assunto é segurança, vale a máxima de que é melhor pecar pelo excesso do que pela falta. Experiências prévias podem motivar decisões como essa. No caso do GitHub, a plataforma enfrentou incidentes de segurança envolvendo registros NPM (Node Package Manager) no ano passado. Esse é o fator que mais pesou para a exigência de 2FA. Acho válido a plataforma seguir por esse caminho. O NPM é o principal gerenciador de pacotes para Node.js (e foi adquirido pelo GitHub em 2020). Os pacotes disponíveis por lá são usados em numerosos projetos. Se apenas um deles for violado, centenas, talvez milhares de serviços podem ser afetados de imediato. Existe um exemplo recente disso, embora não relacionado a uma invasão. Em março, um módulo chamado node-ipc foi sabotado por seu próprio desenvolvedor. De repente, usuários desse pacote passaram a se deparar com mensagens de apoio à Ucrânia em seus sistemas. Pense, então, no que poderia acontecer se, por força de uma violação, pacotes NPM se tornassem maliciosos. Eles poderiam forçar o download de um malware, por exemplo. No anúncio oficial, o próprio GitHub alerta sobre esse tipo de perigo:
2FA no GitHub Mobile
De acordo com o GitHub, hoje, apenas 16,5% dos usuários ativos da plataforma e 6,4% dos que utilizam o NPM usam uma ou mais formas de autenticação em dois fatores. É pouco. Por isso, esse recurso será exigido de todos os usuários que contribuem com código até o final de 2023. Esses ataques têm um grande potencial de impacto em todo o ecossistema de software, assim como na sua cadeia de fornecimento. Essa medida se somará a outros mecanismos de proteção já adotados pelo GitHub, como exigência de verificação de dispositivo baseado em email e suporte a chaves de segurança WebAuthn. Para quem já quer usar a autenticação em dois fatores, um jeito fácil de fazer isso é baixando o aplicativo GitHub Mobile, disponível para iOS e Android. No início do ano, o app recebeu uma função que facilita o uso de 2FA. Para ativá-la, é necessário já ter esse tipo de autenticação funcionando em sua conta. O GitHub observa ainda que organizações ou empresas com contas na plataforma também podem exigir que seus membros ativem a 2FA.
