GitHubが、GitHub.comにコードをコミットする開発者に対して2要素認証(2FA: 2 Factor Authentication)の有効化を呼びかける取り組みを2023年3月13日より開始する。同社は、2023年末までに2FAの利用を義務化する方針を発表しており、今回の呼びかけはその周知を促すためのもの。まずは小規模なグループを対象として呼びかけを行い、徐々に大規模なグループにスケールアウトしていく計画だという。

  • Raising the bar for software security: GitHub 2FA begins March 13|The GitHub Blog

    Raising the bar for software security: GitHub 2FA begins March 13|The GitHub Blog

2FAの有効化は、アカウントのセキュリティを向上さるために極めて効果の高い手段の一つである。GitHubは2022年5月の公式ブログ「Software security starts with the developer: Securing developer accounts with 2FA」において、2023年末までにGitHub.comにコードをコミットする全てのユーザに対して2FAの有効化を要求する方針を発表していた。この施策はGitHubのプラットフォーム全体にわたる取り組みであり、ソフトウェア開発の安全性を高める重要なステップだと同社は説明している。

2FA有効化の対象になった場合、有効化の期限や設定方法、GitHubが推奨するベストプラクティスなどを掲載した電子メールが送られる。この電子メールは2FA有効化期限の約45日前に届くという。2FAの有効化を行わないまま期限を過ぎた場合、GitHub.comに初めてアクセスする際に2FAを有効化する必要がある。この有効化は最大で1週間の猶予期間が与えられるが、それを過ぎると2FAを有効化しない限り、アカウントにアクセスできなくなる。

2FAの有効化が完了すると、その28日後に、GitHub.comの使用中に2要素目の確認を行うプロンプトが表示される。この確認は、認証アプリの構成ミスなどによるアカウントのロックを回避するためのプロセスだという。

  • 2FA有効化のタイムライン(引用:The GitHub Blog)

    2FA有効化のタイムライン(引用:The GitHub Blog)

なお、まだ2FA有効化の呼びかけ対象になっていない(電子メールが送られていない)ユーザーについては、先行して2FAを有効化するための手段が別途提供されている。詳細は次のページを参照していただきたい。