依存関係の制御を目的としたアカウント乗っ取り攻撃から保護するために、RubyGems パッケージ リポジトリは、最も人気のある 100 個のパッケージ (ダウンロードによる) および 165 個を超えるパッケージを維持しているアカウントに対して、必須の XNUMX 要素認証に移行すると発表しました。 XNUMX 要素認証を使用すると、侵害されたサイトでパスワードを再利用したり、予測可能なパスワードを使用したり、マルウェア活動の結果として認証情報を傍受したりするなどして開発者の認証情報が侵害された場合に、アクセスを取得することがはるかに困難になります。開発者のシステム。
最初の段階では、コマンド ライン ユーティリティまたは Rubygems.org Web サイトを使用するときに、人気のあるパッケージの管理者は、15 要素認証を有効にする必要があるという警告を表示します。 XNUMX 月 XNUMX 日、この推奨事項は、XNUMX 要素認証を有効にする必須要件に置き換えられ、XNUMX 要素認証がないとアクセスが許可されなくなります。 メンテナは、XNUMX 要素認証を有効にする XNUMX か月前と XNUMX 週間前に電子メール通知も受け取ります。
4 年の第 2022 四半期には、他のカテゴリの RubyGems ユーザーに対して 500 要素認証の使用要件を拡大する予定です (基準はまだ承認されていません。おそらく、NPM の場合と同様に、対象範囲は次のようになります)。最も人気のある XNUMX のパッケージに拡張されました)。
出所: オープンネット.ru