Kako bi se zaštitili od napada preuzimanja računa čiji je cilj stjecanje kontrole nad ovisnostima, repozitorij paketa RubyGems objavio je da prelazi na obaveznu dvofaktorsku autentifikaciju za račune koji održavaju 100 najpopularnijih paketa (prema preuzimanjima), kao i pakete s više od 165 milijuna preuzimanja. Korištenje dvofaktorske provjere autentičnosti znatno će otežati dobivanje pristupa ako su vjerodajnice razvojnog programera ugrožene, poput ponovne upotrebe lozinke na ugroženoj web-lokaciji, upotrebe predvidljivih lozinki ili presretanja vjerodajnica kao rezultat aktivnosti zlonamjernog softvera na sustav programera.
U prvoj fazi, pri korištenju uslužnih programa naredbenog retka ili web stranice rubygems.org, održavatelji popularnih paketa prikazat će upozorenje o potrebi omogućavanja dvofaktorske provjere autentičnosti. Dana 15. kolovoza, preporuka će biti zamijenjena obaveznim zahtjevom za omogućavanje dvofaktorske autentifikacije, bez koje pristup neće biti odobren. Održavatelji će također primati obavijesti putem e-pošte mjesec i tjedan prije nego što omoguće dvofaktorsku autentifikaciju.
U 4. kvartalu 2022. planira se proširiti zahtjev za korištenje dvofaktorske autentifikacije za druge kategorije korisnika RubyGemsa (kriteriji još nisu odobreni; vjerojatno će, kao u slučaju NPM-a, pokrivenost biti prošireno na 500 najpopularnijih paketa).
Izvor: opennet.ru