Για την προστασία από επιθέσεις κατάληψης λογαριασμών με στόχο την απόκτηση ελέγχου των εξαρτήσεων, το αποθετήριο πακέτων RubyGems ανακοίνωσε ότι προχωρά σε υποχρεωτικό έλεγχο ταυτότητας δύο παραγόντων για λογαριασμούς που διατηρούν τα 100 πιο δημοφιλή πακέτα (με λήψεις), καθώς και πακέτα με περισσότερα από 165 εκατομμύρια λήψεις. Η χρήση ελέγχου ταυτότητας δύο παραγόντων θα καταστήσει πολύ πιο δύσκολη την απόκτηση πρόσβασης σε περίπτωση παραβίασης των διαπιστευτηρίων του προγραμματιστή, όπως με την επαναχρησιμοποίηση κωδικού πρόσβασης σε έναν παραβιασμένο ιστότοπο, τη χρήση προβλέψιμων κωδικών πρόσβασης ή την υποκλοπή διαπιστευτηρίων ως αποτέλεσμα δραστηριότητας κακόβουλου λογισμικού στο σύστημα προγραμματιστή.
Στο πρώτο στάδιο, όταν χρησιμοποιούν βοηθητικά προγράμματα γραμμής εντολών ή τον ιστότοπο rubygems.org, οι συντηρητές δημοφιλών πακέτων θα εμφανίζουν μια προειδοποίηση σχετικά με την ανάγκη ενεργοποίησης του ελέγχου ταυτότητας δύο παραγόντων. Στις 15 Αυγούστου, η σύσταση θα αντικατασταθεί από μια υποχρεωτική απαίτηση για ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων, χωρίς την οποία δεν θα παρέχεται πρόσβαση. Οι συντηρητές θα λαμβάνουν επίσης ειδοποιήσεις μέσω email ένα μήνα και μία εβδομάδα πριν ενεργοποιήσουν τον έλεγχο ταυτότητας δύο παραγόντων.
Το 4ο τρίμηνο του 2022, σχεδιάζεται να επεκταθεί η απαίτηση για τη χρήση ελέγχου ταυτότητας δύο παραγόντων για άλλες κατηγορίες χρηστών RubyGems (τα κριτήρια δεν έχουν ακόμη εγκριθεί· πιθανώς, όπως στην περίπτωση του NPM, η κάλυψη θα είναι επεκτάθηκε στα 500 πιο δημοφιλή πακέτα).
Πηγή: opennet.ru