GitHub、コードのコントリュビュータに2要素認証を義務化、2023年末までに。パスワードレスへの対応も積極化

GitHubは、GitHub.comにおけるコードのコントリビュータ全員に対して、2023年末までに二要素認証を義務化することを発表しました。

Securing the software supply chain begins with the developer and we’re committed to raising the bar on account security. Today we’re announcing that users who contribute code on https://t.co/0iKPk21RVu will be required to enable 2FA by the end of 2023. https://t.co/mpk3rXou4s

— GitHub Security (@GitHubSecurity) May 4, 2022

現在、ソフトウェアのサプライチェーンにおける信頼性に注目が集まっています。

すでにGitHubでも昨年（2011年）11月、2要素認証を有効にしていない開発者のアカウントが乗っ取られ、npmパッケージに悪意のあるコードが組み込まれるという事件が発生しました（GitHubは2020年3月にnpmを買収しています）。

これを受けてGitHubは今年の2月から、npmの上位100に位置するパッケージの開発者には2要素認証を義務づけています。

today we enrolled all maintainers of the top-100 npm packages in mandatory 2FA. read more about it on our blog: https://t.co/z4vWIBKzPx

— npm (@npmjs) February 1, 2022

今回のGitHubにおけるコードコントリビュータに対する2要素認証の義務化は、こうした動きをGitHub.comへも広げたものと言えます。

同社によると現在、アクティブなGitHubユーザーの約16.5%、npmユーザーの6.44%しか2要素認証を使用していないとのこと。

パスワードレスへの対応も積極化

しかし多くのコントリビュータにとって、2要素認証は重要と分かっていても、PCから毎回2要素認証を利用してログインするのは手間が多く、面倒くさいと思われているのが現実でしょう（npmで全員ではなくトップ100だけを2要素認証としたのは、これが理由かもしれません）。

GitHubもおそらくこうした現実を理解していると思われ、今後パスワードレス認証などユーザーを安全かつ便利に認証する新しい方法を積極的に模索していくとしています。

ちょうどApple、Google、マイクロソフトがFIDO Allianceの新仕様への対応を表明し、2023年内に実装することを表明しました。

参考：Apple、Google、マイクロソフトが対応表明した、パスワードレスがさらに便利になる2つの新機能とは。 PCがスマホとBluetooth通信でパスワード不要に、2台目のスマホにもクレデンシャルを簡単リストア

これを用いればPCから既存の2要素認証よりも便利で安全なログインができることが期待されるため、このパスワードレスのGitHub.comでの対応にも注目したいと思います。