برای محافظت در برابر حملات تصاحب حساب با هدف کنترل وابستگی ها، مخزن بسته RubyGems اعلام کرده است که به سمت احراز هویت اجباری دو مرحله ای برای حساب هایی که ۱۰۰ بسته محبوب (توسط دانلود) و همچنین بسته های بیش از ۱۶۵ بسته را حفظ می کنند، حرکت می کند. استفاده از احراز هویت دو مرحلهای، در صورت به خطر افتادن اعتبار توسعهدهنده، مانند استفاده مجدد از رمز عبور در یک سایت در معرض خطر، استفاده از رمزهای عبور قابل پیشبینی، یا رهگیری اعتبارنامهها در نتیجه فعالیت بدافزار در سایت، دسترسی به آن را بسیار دشوارتر میکند. سیستم توسعه دهنده
در مرحله اول، هنگام استفاده از ابزارهای خط فرمان یا وب سایت rubygems.org، نگهبانان بسته های محبوب هشداری در مورد نیاز به فعال کردن احراز هویت دو مرحله ای نشان می دهند. در 15 آگوست، این توصیه با یک الزام اجباری برای فعال کردن احراز هویت دو مرحلهای جایگزین میشود که بدون آن دسترسی امکانپذیر نخواهد بود. نگهبانان همچنین یک ماه و یک هفته قبل از فعال کردن احراز هویت دو مرحلهای، اعلانهای ایمیل را دریافت خواهند کرد.
در سه ماهه چهارم سال 4، برنامه ریزی شده است که الزامات استفاده از احراز هویت دو مرحله ای برای سایر دسته های کاربران RubyGems گسترش یابد (معیارها هنوز تأیید نشده اند؛ احتمالاً مانند مورد NPM، پوشش این موارد خواهد بود. به 2022 بسته محبوب گسترش یافت).
منبع: opennet.ru