Para protegerse contra ataques de apropiación de cuentas destinados a obtener el control de las dependencias, el repositorio de paquetes RubyGems ha anunciado que pasará a la autenticación obligatoria de dos factores para las cuentas que mantienen los 100 paquetes más populares (por descargas), así como los paquetes con más de 165. millones de descargas. El uso de la autenticación de dos factores hará que sea mucho más difícil obtener acceso si las credenciales del desarrollador se ven comprometidas, como por ejemplo reutilizando una contraseña en un sitio comprometido, usando contraseñas predecibles o interceptando credenciales como resultado de la actividad de malware en el sitio. sistema del desarrollador.
En la primera etapa, cuando se utilizan utilidades de línea de comandos o el sitio web rubygems.org, los mantenedores de paquetes populares mostrarán una advertencia sobre la necesidad de habilitar la autenticación de dos factores. El 15 de agosto, la recomendación será reemplazada por un requisito obligatorio para habilitar la autenticación de dos factores, sin la cual no se otorgará el acceso. Los mantenedores también recibirán notificaciones por correo electrónico un mes y una semana antes de habilitar la autenticación de dos factores.
En el cuarto trimestre de 4, está previsto ampliar el requisito de uso de autenticación de dos factores para otras categorías de usuarios de RubyGems (los criterios aún no han sido aprobados; probablemente, como en el caso de NPM, la cobertura será ampliado a los 2022 paquetes más populares).
Fuente: opennet.ru