Для защиты от атак по захвату учётных записей, нацеленных на получение контроля над зависимостями, репозиторий пакетов RubyGems объявил о переходе к применению обязательной двухфакторой аутентификации для учётных записей сопровождающих 100 наиболее популярных пакетов (по числу загрузок), а также пакетов число загрузок которых превышает 165 млн. Применение двухфакторной аутентификации существенно усложнит получение доступа в случае компрометации учётных данных разработчика, например, при повторном использовании пароля на скомпрометированном сайте, применении предсказуемых паролей или перехвате учётных данных в результате активности вредоносного ПО на системе разработчика.
На первом этапе при использовании утилит командной строки или сайта rubygems.org сопровождающим популярные пакеты будет выводиться предупреждение о необходимости включения двухфакторной аутентификации. 15 августа рекомендация сменится обязательным требованием включения двухфакторной аутентификации, без которой не будет предоставляться доступ. За месяц и за неделю до включения обязательной двухфакторной аутентификацию сопровождающим также будут направлены уведомления по электронной почте.
В 4 квартале 2022 года планируется расширить требование к применению двухфакторной аутентификации и для других категорий пользователей RubyGems (критерии пока не утверждены, вероятно, как в случае с NPM, охват будет расширен до 500 наиболее популярных пакетов).
Source: opennet.ru