Pour se protéger contre les attaques de piratage de compte visant à prendre le contrôle des dépendances, le référentiel de packages RubyGems a annoncé qu'il passait à l'authentification obligatoire à deux facteurs pour les comptes conservant les 100 packages les plus populaires (par téléchargements), ainsi que les packages contenant plus de 165 millions de téléchargements. L'utilisation de l'authentification à deux facteurs rendra l'accès beaucoup plus difficile si les informations d'identification du développeur sont compromises, par exemple en réutilisant un mot de passe sur un site compromis, en utilisant des mots de passe prévisibles ou en interceptant les informations d'identification à la suite d'une activité malveillante sur le site. système du développeur.
Dans un premier temps, lors de l'utilisation d'utilitaires de ligne de commande ou du site Web rubygems.org, les responsables des packages populaires afficheront un avertissement concernant la nécessité d'activer l'authentification à deux facteurs. Le 15 août, la recommandation sera remplacée par une exigence obligatoire permettant l'authentification à deux facteurs, sans laquelle l'accès ne sera pas accordé. Les responsables recevront également des notifications par e-mail un mois et une semaine avant d'activer l'authentification à deux facteurs.
Au 4ème trimestre 2022, il est prévu d'étendre l'exigence d'utilisation de l'authentification à deux facteurs pour d'autres catégories d'utilisateurs de RubyGems (les critères n'ont pas encore été approuvés ; probablement, comme dans le cas du NPM, la couverture sera étendu aux 500 forfaits les plus populaires).
Source: opennet.ru