Sõltuvuste kontrolli alla saamiseks suunatud kontode ülevõtmise rünnakute eest kaitsmiseks teatas RubyGemsi pakettide hoidla, et läheb üle kohustuslikule kahefaktorilisele autentimisele kontodel, mis säilitavad 100 kõige populaarsemat paketti (allalaadimiste järgi), aga ka rohkem kui 165 paketiga paketti. miljonit allalaadimist. Kahefaktorilise autentimise kasutamine muudab juurdepääsu saamise palju keerulisemaks, kui arendaja mandaadid on rikutud, nt parooli taaskasutamine ohustatud saidil, ennustatavate paroolide kasutamine või mandaatide pealtkuulamine pahavarategevuse tagajärjel arendaja süsteem.
Esimeses etapis, kui kasutate käsurea utiliite või veebisaiti rubygems.org, kuvavad populaarsete pakettide hooldajad hoiatuse kahefaktorilise autentimise lubamise vajaduse kohta. 15. augustil asendub soovitus kohustusliku nõudega lubada kahefaktoriline autentimine, ilma milleta ligipääsu ei anta. Hooldajad saavad ka üks kuu ja nädal enne kahefaktorilise autentimise lubamist meiliteateid.
4. aasta 2022. kvartalis on plaanis laiendada kahefaktorilise autentimise kasutamise nõuet ka teistele RubyGemsi kasutajate kategooriatele (kriteeriumid pole veel kinnitatud, tõenäoliselt nagu NPM-i puhul katvus laiendatud 500 kõige populaarsema paketini).
Allikas: opennet.ru