GitHub, piattaforma online con oltre 83 milioni di utenti dove sviluppatori e non condividono le loro applicazioni e codici sorgenti, ha introdotto una serie di funzionalità importanti per incrementare la sicurezza per i repository Git e il sistema di autenticazione.
Le feature riguardano in particolare la piattaforma npm (Node Package Manager), sussidiaria di GitHub che si occupa della gestione di pacchetti e repository per programmatori JavaScript, utilizzato dai progetti degli sviluppatori per scaricare cinque miliardi di pacchetti al giorno.
La prima interessante aggiunta è l’autenticazione a due fattori (2FA), annunciata in versione Beta già lo scorso Maggio ma ora disponibile per tutti gli utenti. Inutile dire come questo sistema di autenticazione risulti notevolmente più sicuro rispetto alle semplici credenziali di accesso, garantendo robustezza e solidità della piattaforma. Inoltre, ora il login e la pubblicazione via npm sono gestite interamente tramite browser ed eventuali token validi possono essere recuperati dalla sessione per un massimo di 5 minuti.
La seconda novità riguarda la possibilità di poter collegare un account GitHub o Twitter alla piattaforma npm per dare maggiore credibilità a un profilo ed evitare quindi possibili furti di identità spacciando il software come proprio. Inoltre, questo nuovo sistema dovrebbe aiutare con il recupero dell’account quando necessario, rendendo il processo più affidabile e meno ingombrante e gettando le basi per una maggiore automazione in futuro.
Infine per ultima, ma non meno importante, c’è la nuova gestione della firma nei pacchetti che sostituisce il precedente processo PGP più complesso e in più fasi, consentendo agli sviluppatori un metodo molto più semplice per verificare la firma dei pacchetti npm. Gli utenti saranno ora in grado di convalidare localmente l’origine dei pacchetti utilizzando il comando “npm audit signatures” nell’interfaccia da riga di comando npm.
Allo stesso tempo, la piattaforma rifirma tutti i pacchetti con l’algoritmo ECDSA (elliptic curve cryptography) e utilizza HSM per la gestione delle chiavi, rafforzando ulteriormente la sicurezza.
GitHub è una delle piattaforme online più utilizzata dagli sviluppatori, perciò queste novità non fanno che dare ulteriore autorità al servizio e spingere nuovi sviluppatori a utilizzarla.