За защита срещу атаки за отвличане на акаунти, насочени към придобиване на контрол върху зависимостите, хранилището на пакети RubyGems обяви прехода към задължително двуфакторно удостоверяване за поддържащите акаунти на 100-те най-популярни пакета (по брой изтегляния), както и пакети с повече от 165 милиона изтегляния Използването на двуфакторно удостоверяване ще направи много по-трудно получаването на достъп, ако идентификационните данни на програмиста са компрометирани, като повторно използване на парола на компрометиран сайт, използване на предсказуеми пароли или прихващане на идентификационни данни в резултат на активност на злонамерен софтуер на системата на разработчика.
На първия етап, когато използвате помощните програми на командния ред или сайта rubygems.org, поддържащите популярни пакети ще бъдат предупредени да активират двуфакторно удостоверяване. На 15 август препоръката ще бъде заменена със задължително изискване за разрешаване на двуфакторна автентификация, без която няма да бъде предоставен достъп. Месец и седмица преди задължителното двуфакторно удостоверяване да бъде активирано, поддържащите също ще получат известия по имейл.
През 4-то тримесечие на 2022 г. се планира да се разшири изискването за използване на двуфакторна автентификация за други категории потребители на RubyGems (критериите все още не са одобрени, вероятно, както в случая с NPM, покритието ще бъде разширени до 500-те най-популярни пакета).
Източник: opennet.ru