Om te beskerm teen rekeningoorname-aanvalle wat daarop gemik is om beheer oor afhanklikhede te verkry, het die RubyGems-pakketbewaarplek aangekondig dat dit oorgaan na verpligte tweefaktor-verifikasie vir rekeninge wat die 100 gewildste pakkette onderhou (deur aflaaie), sowel as pakkette met meer as 165 miljoen aflaaie. Die gebruik van tweefaktor-stawing sal dit baie moeiliker maak om toegang te verkry as die ontwikkelaar se geloofsbriewe gekompromitteer word, soos deur 'n wagwoord op 'n gekompromitteerde webwerf te hergebruik, voorspelbare wagwoorde te gebruik of geloofsbriewe te onderskep as gevolg van wanware-aktiwiteit op die ontwikkelaar se stelsel.
In die eerste stadium, wanneer opdragreëlhulpmiddels of die rubygems.org-webwerf gebruik word, sal instandhouers van gewilde pakkette 'n waarskuwing vertoon oor die behoefte om twee-faktor-verifikasie moontlik te maak. Op 15 Augustus sal die aanbeveling vervang word deur 'n verpligte vereiste om twee-faktor-verifikasie moontlik te maak, waarsonder toegang nie verleen sal word nie. Onderhouers sal ook e-poskennisgewings ontvang een maand en een week voordat hulle twee-faktor-verifikasie aktiveer.
In die 4de kwartaal van 2022 word beplan om die vereiste vir die gebruik van tweefaktor-verifikasie vir ander kategorieë RubyGems-gebruikers uit te brei (die kriteria is nog nie goedgekeur nie; waarskynlik, soos in die geval van NPM, sal die dekking wees uitgebrei na die 500 gewildste pakkette).
Bron: opennet.ru