Programmeurs die meewerken aan de projecten van Mozilla op het ontwikkelaarsplatform GitHub moeten verplicht tweefactorauthenticatie instellen, zo laat de opensource-ontwikkelaar weten. De maatregel is onderdeel van een reeks 'best practices' die worden genomen om de GitHub-omgeving van Mozilla te beschermen.
GitHub is een populair platform voor allerlei softwareprojecten en wordt door tal van partijen als alternatieve methode gebruikt om toegang tot broncode te geven. Mozilla maakt gebruik van de eigen infrastructuur voor een groot deel van de Firefox-code, maar veel projecten bestaan alleen op GitHub. Een aanvaller die toegang tot een GitHub-account krijgt kan, afhankelijk van de rechten van dit account, kwaadaardige code aan een softwareproject toevoegen.
Onlangs was dit het geval bij Gentoo Linux. De pagina van de Linuxdistributie kon worden gehackt omdat één van de beheerders een voorspelbaar wachtwoordschema gebruikte. De aanvaller had een wachtwoord van de beheerder op een andere website buitgemaakt. Aan de hand van dit wachtwoord kon hij het GitHub-wachtwoord van de beheerder afleiden. Vervolgens plaatste de aanvaller kwaadaardige code op de GitHub-pagina van Gentoo Linux.
Mozilla heeft daarom een aantal best practices opgesteld om dergelijke incidenten te voorkomen. Zo wordt het gebruik van tweefactorauthencatie voor alle GitHub-accounts verplicht. Ook moeten alle gebruikers, en op z'n minst personen met verhoogde rechten, over contactmethodes beschikken en begrijpen dat ze het moeten laten weten wanneer hun account is gecompromitteerd.
Verder doet Mozilla verschillende aanbevelingen voor het inrichten van GitHub-respositories en workflows. Zo wordt aangeraden om alle commits via GPG te signeren middels sleutels die van tevoren bekend zijn gemaakt. Mozilla zegt dat het bezig is om de eigen aanbevelingen onder de ontwikkelteams uit te rollen en al doende aan het leren is.
Deze posting is gelocked. Reageren is niet meer mogelijk.