GitHub は、プラットフォーム上のあらゆるプロジェクトにコードを提供するすべての開発者に対して 2 要素認証 (2FA) を義務付ける予定であり、これはソフトウェア サプライ チェーンの強化を目的とした動きです。
マイクロソフト傘下のコードホスティングプラットフォームは、昨年5月に2023年末までに2FAを義務化する意向を発表しました。ただし、同年初めには上位100パッケージを対象にプロセスを開始しており、11月にはその他の「影響度の高い」パッケージについても開始しました。これらのパッケージは、週100万回以上のダウンロード、または500以上の依存関係(当該パッケージを使用するプロジェクト)を持つパッケージと定義されています。
現在、GitHub は、プラットフォーム全体にわたる施行が 2023 年 3 月 13 日 (今から 4 日後) に開始されることを確認しており、このプロセスは、今年の残りの期間を通じて、さまざまな開発者グループとプロジェクト管理者に段階的に展開される予定です。
サプライチェーン
約1億人の開発者ユーザーを擁するGitHubは、世界的なソフトウェアサプライチェーンの要となっています。ソフトウェアサプライチェーンのセキュリティに関する懸念は以前から高まっていましたが、近年の一連の大規模な攻撃により、この問題は世界的な政治課題のトップに躍り出ました。これには、2020年に米国のソフトウェア企業SolarWindsで発生した情報漏洩(同社のソフトウェアを使用していた多数の政府機関や企業に影響を及ぼしました)や、人気のオープンソースログツールLog4jで発見された重大なLog4Shellセキュリティ脆弱性などが含まれます。
こうした重大なセキュリティインシデントを受け、バイデン政権は2021年にサイバー防衛の強化を目的とした大統領令を発令し、対策に乗り出しました。そして先週、政府は新たなサイバーセキュリティ戦略を発表し、大手IT企業に対し、システムの堅牢性確保に向けた責任をさらに担うよう求めました。2要素認証の義務化は、この戦略の実現にある程度貢献するでしょう。
特にオープンソースソフトウェアは、その普及率の高さから、ここ数年、政権のサイバーセキュリティ対策において大きな焦点となってきました。実際、ほとんどのソフトウェアには少なくとも何らかのオープンソースコンポーネントが含まれており、その多くは、ほとんど資金援助を受けずに余暇に開発に取り組んでいる1人か2人の開発者によって生み出されたものです。
そして、こうした背景から、GitHub は過去 1 年間にわたり 2FA を推進し、ソーシャル エンジニアリングや同様のアカウント乗っ取りの試みを通じて悪意のある人物によって主要なオープン ソース プロジェクトが侵害される可能性を減らすことを目指してきました。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
段階的な展開
GitHub が段階的に 2FA を実施しているのは、オンボーディングが必要なすべての人が自分の意志で、適切なタイミングでオンボーディングを行えるようにするための計算された試みです。
「この段階的な展開により、開発者がスムーズにオンボーディングを行えることを確認し、年が進むにつれてより大規模なグループに拡大する前に、必要に応じて調整を行うことができます」とGitHubはブログ投稿で述べています。「GitHubはソフトウェアサプライチェーンの中核であり、ソフトウェアサプライチェーンのセキュリティ確保は開発者から始まります。」
この最初の2FA登録プッシュで対象となる開発者には、メールが送信され、GitHubダッシュボードにもサインアップを促すバナーが表示されます。2FAを有効化するための期間は45日間で、その間は定期的にプロンプトが表示され、設定に従うよう促されます。45日以内に2FAが設定されていない場合、次回GitHubアカウントにアクセスしようとした際に2FAを有効にするよう促されますが、さらに1週間「スヌーズ」することもできます。その後、コードの公開を含むGitHubアカウントのあらゆる機能にアクセスしたい場合は、2FAを設定する以外に選択肢はありません。
GitHub ユーザーは、SMS、物理的なセキュリティ キー、サードパーティの認証アプリ、GitHub モバイル アプリから 2FA メカニズムを選択できますが、GitHub では、フェイルセーフ対策として複数の 2FA 方法を有効にすることを推奨しています。
2FAのプッシュ通知は初回登録で終了しない点にご留意ください。2FAを設定したユーザーは、28日後に再度2FA認証を求めるメッセージが表示されます。これは、認証アプリの設定ミスや携帯電話番号の誤入力によって開発者がアカウントにアクセスできなくなることを防ぐためのものです。この段階でユーザーがアカウントを認証できない場合は、アカウントへのアクセスを失うことなく2FA認証をリセットするよう求められます。
3月13日から2FAプロンプトを受信し始める予定の開発者については、GitHubは以前に、公開頻度、企業の管理者であるかどうか、人気の高いパブリックリポジトリとプライベートリポジトリに貢献しているかどうかなど、さまざまなデータポイントを考慮すると述べていました。
GitHub は、この最初の展開に続いて、得られた教訓を 2023 年までのより広範な展開に適用すると述べています。
ポールはロンドンを拠点とするTechCrunchのシニアライターで、主に(ただしそれだけではない)英国およびヨーロッパのスタートアップの世界に特化していました。オープンソースソフトウェアビジネスなど、情熱を注いだ他のテーマについても執筆していました。2022年6月にTechCrunchに入社する前は、The Next Web(現在はFinancial Times傘下)とVentureBeatで、コンシューマー向けおよびエンタープライズ向けテクノロジーを10年以上取材してきました。企画書の送付先:paul.sawers [at] techcrunch.com セキュア/匿名の情報はSignal(PSTC.08)まで。また、Bluesky(@jambo.bsky.social)にも参加していました。
バイオを見る
