Per proteggersi dagli attacchi di furto degli account volti a ottenere il controllo delle dipendenze, il repository dei pacchetti RubyGems ha annunciato che passerà all'autenticazione obbligatoria a due fattori per gli account che mantengono i 100 pacchetti più popolari (per numero di download), nonché i pacchetti con più di 165 milioni di download. L'utilizzo dell'autenticazione a due fattori renderà molto più difficile l'accesso se le credenziali dello sviluppatore vengono compromesse, ad esempio riutilizzando una password su un sito compromesso, utilizzando password prevedibili o intercettando le credenziali a seguito di attività malware sul sistema dello sviluppatore.
Nella prima fase, quando si utilizzano le utilità della riga di comando o il sito Web rubygems.org, i manutentori dei pacchetti più diffusi visualizzeranno un avviso sulla necessità di abilitare l'autenticazione a due fattori. Dal 15 agosto la raccomandazione sarà sostituita dall’obbligo di abilitare l’autenticazione a due fattori, senza la quale non sarà concesso l’accesso. I manutentori riceveranno inoltre notifiche via email un mese e una settimana prima di abilitare l'autenticazione a due fattori.
Nel 4° trimestre 2022 è previsto l'ampliamento dell'obbligo per l'utilizzo dell'autenticazione a due fattori ad altre categorie di utenti di RubyGems (i criteri non sono ancora stati approvati; probabilmente, come nel caso di NPM, la copertura sarà ampliato ai 500 pacchetti più popolari).
Fonte: opennet.ru