For at beskytte mod kontoovertagelsesangreb, der sigter mod at få kontrol over afhængigheder, har RubyGems-pakkelageret annonceret, at det går over til obligatorisk to-faktor-autentificering for konti, der opretholder de 100 mest populære pakker (efter antal downloads), såvel som pakker med flere end 165 millioner downloads. Brug af to-faktor-godkendelse vil gøre det meget sværere at få adgang, hvis udviklerens legitimationsoplysninger er kompromitteret, såsom ved at genbruge en adgangskode på et kompromitteret websted, bruge forudsigelige adgangskoder eller opsnappe legitimationsoplysninger som følge af malware-aktivitet på udviklerens system.
På det første trin, når du bruger kommandolinjeværktøjer eller rubygems.org-webstedet, vil vedligeholdere af populære pakker vise en advarsel om behovet for at aktivere to-faktor-godkendelse. Den 15. august bliver anbefalingen erstattet af et obligatorisk krav om at muliggøre to-faktor autentificering, uden hvilket der ikke gives adgang. Vedligeholdere vil også modtage e-mail-notifikationer en måned og en uge før aktivering af to-faktor-godkendelse.
I 4. kvartal 2022 er det planen at udvide kravet om brug af to-faktor-autentificering for andre kategorier af RubyGems-brugere (kriterierne er endnu ikke godkendt; sandsynligvis, som i tilfældet med NPM, vil dækningen være udvidet til de 500 mest populære pakker).
Kilde: opennet.ru