GitHubは、最近複数の大規模なインシデントを引き起こしたプラットフォーム上のサプライチェーン攻撃に対抗するため、一連の防御策を導入しています。
GitHubリポジトリの侵害から始まり、その後NPMに拡大した主なサイバー攻撃には、8月下旬の「s1ngularity」攻撃、9月初旬の「GhostAction」キャンペーン、そして先週のワーム型キャンペーン「Shai-Hulud」などがあります。
これらの攻撃により、数千のアカウントやプライベートリポジトリが侵害され、機密データの窃取や多大な復旧コストが発生しました。
GitHubはこれらのインシデントの影響を最小限に抑えるため迅速に対応しましたが、開発者プラットフォームはより強力な事前対策の方が効果的であると認めています。
これらのリスクを減らすため、GitHubは次の措置を段階的に導入すると発表しました:
- ローカルでの公開に2要素認証(2FA)を必須化
- 有効期間7日の細分化されたトークンの強制
- 信頼された公開の拡大と採用推奨
- 従来型トークンおよびTOTP 2FAの廃止(FIDOベース2FAへの移行)
- 公開用トークンの有効期限短縮
- デフォルトで公開アクセス時にトークンを許可しない設定
- ローカル公開時の2FA回避オプションの削除
信頼された公開は、すでに複数のエコシステムで採用されており、ビルドシステムでAPIトークンを管理する必要がなくなるため、強く推奨されています。
NPMのメンテナーは、直ちに信頼された公開へ切り替え、公開や書き込み時に2FAを強制し、2FAにはTOTPではなくWebAuthを利用することが推奨されています。
コードホスティングおよびコラボレーションプラットフォームは、これらの変更を段階的に展開し、既存のワークフローへの影響を最小限に抑えるために必要なドキュメントや移行ガイドを提供します。
また、発表ではエコシステムのセキュリティは共同の責任であり、開発者自身もプラットフォーム上で利用可能なより良いセキュリティオプションを採用することでサプライチェーンリスクの軽減に取り組むことが期待されています。
Ruby Centralも、RubyGemsパッケージマネージャーのガバナンス強化によるサプライチェーン保護の向上を発表しました。
このエコシステムも最近、27万5,000回ダウンロードされた60個の悪意あるRuby gemや、FastlaneプロジェクトのタイポスクワッティングによるTelegram向け攻撃など、同様の問題に悩まされてきました。
新しいガバナンスモデルと基本方針が確定するまで、管理者権限はRuby Centralのスタッフのみが保持します。
発表では、より透明性が高くコミュニティ中心のモデルへの移行が約束されています。本日後ほど予定されているQ&Aセッションでは、多くのRubyコミュニティメンバーが「乱暴な乗っ取り」と受け止めた今回の突然の措置に関する懸念が解消される見込みです。
