Sobre este guia
Este guia descreve as mudanças de maior impacto que você pode fazer para aumentar a segurança da conta. Cada seção descreve uma alteração que você pode fazer em seus processos para melhorar a segurança. As mudanças de maior impacto estão listadas primeiro.
Qual o risco?
A segurança da conta é fundamental para a segurança da sua cadeia de suprimento. Se um invasor conseguir tomar a sua conta em GitHub AE, ele poderá fazer alterações maliciosas no seu código ou no processo de compilação. Dessa forma, seu primeiro objetivo deve ser dificultar que alguém tome a sua conta e as contas de outros usuários de integrantes da sua organização ou empresa.
Configurar autenticação de dois fatores
A melhor maneira de melhorar a segurança da sua empresa em GitHub AE é configurar a autenticação de dois fatores (2FA) no seu provedor de identidade SAML (IdP). As senhas por si só podem ser comprometidas por serem adivinhadas, por serem reutilizadas em outro local que foi comprometido, ou por engenharia social, como phishing. A 2FA dificulta muito mais o comprometimento das suas contas, mesmo que um invasor tenha sua senha.
Como prática recomendada, para garantir segurança e um acesso confiável à sua conta, você sempre deve ter pelo menos duas credenciais com um segundo fator registradas em sua conta. Credenciais extras garantem que, mesmo que você perca o acesso a uma credencial, você não ficará impedido de acessar sua conta.
Conectar a GitHub AE usando chaves SSH
Existem outras maneiras de interagir com GitHub AE além de entrar no site por meio do IdP. Muitas pessoas autorizam o código que enviam por push para GitHub com uma chave privada SSH. Para obter mais informações, confira "Sobre o SSH".
Assim como a senha da conta do IdP, se um invasor conseguir obter sua chave SSH privada, ele poderá representar você e enviar um código malicioso por push a qualquer repositório ao qual você tenha acesso de gravação. Se você armazenar sua chave SSH privada em um disco, é uma boa ideia protegê-la com uma senha. Para obter mais informações, confira "Trabalhar com frase secreta da chave SSH".
Outra opção é gerar chaves SSH em uma chave de segurança de hardware. Você pode usar a mesma chave que você está usando no 2FA. É muito difícil comprometer as chaves de segurança de hardware remotamente, porque a chave SSH privada permanece no hardware e não pode ser acessada diretamente por meio do software. Para obter mais informações, confira "Gerando uma nova chave SSH e adicionando-a ao agente SSH".
As chaves SSH com suporte de hardware são bastante seguras, mas a exigência de hardware pode não funcionar para algumas organizações. Uma abordagem alternativa é usar chaves SSH válidas por um curto período de tempo. Mesmo que a chave privada seja comprometida, ela não poderá ser explorada por muito tempo. Este é o conceito por trás da execução da sua própria autoridade de certificação SSH. Embora essa abordagem fornece a você um grande controle sobre como os usuários efetuam a autenticação e também vem com a responsabilidade da própria manutenção de uma autoridade certificada de SSH. Para obter mais informações, confira "Sobre autoridades certificadas de SSH".