Kako bi se zaštitili od napada otmice naloga u cilju sticanja kontrole nad zavisnostima, skladište paketa RubyGems najavilo je prelazak na obaveznu dvofaktorsku autentifikaciju za održavaoce naloga 100 najpopularnijih paketa (po broju preuzimanja), kao i paketa sa više od 165 miliona preuzimanja. Upotreba dvofaktorske autentifikacije znatno će otežati pristup ako su akreditivi programera ugroženi, kao što je ponovna upotreba lozinke na ugroženom web mjestu, upotreba predvidljivih lozinki ili presretanje vjerodajnica kao rezultat aktivnosti zlonamjernog softvera na sistem programera.
U prvoj fazi, kada se koriste uslužni programi komandne linije ili rubygems.org stranice, održavaoci popularnih paketa će biti upozoreni da omoguće dvofaktorsku autentifikaciju. Preporuka će 15. avgusta biti zamijenjena obaveznim zahtjevom da se omogući dvofaktorska autentifikacija, bez koje pristup neće biti odobren. Mjesec i sedmicu prije nego što se omogući obavezna dvofaktorska autentifikacija, održavatelji će također primati obavještenja putem e-pošte.
U 4. kvartalu 2022. planirano je proširenje zahtjeva za korištenjem dvofaktorske autentifikacije za ostale kategorije korisnika RubyGemsa (kriterijumi još nisu odobreni, vjerovatno će kao i u slučaju NPM-a pokrivenost biti prošireno na 500 najpopularnijih paketa).
izvor: opennet.ru