Siekdama apsisaugoti nuo paskyros perėmimo atakų, kuriomis siekiama kontroliuoti priklausomybes, „RubyGems“ paketų saugykla paskelbė, kad pereina prie privalomo dviejų veiksnių autentifikavimo paskyroms, kuriose yra 100 populiariausių paketų (atsisiunčiant), taip pat paketams, kuriuose yra daugiau nei 165 milijono atsisiuntimų. Naudojant dviejų veiksnių autentifikavimą bus daug sunkiau pasiekti, jei kūrėjo kredencialai bus pažeisti, pvz., pakartotinai naudojant slaptažodį pažeistoje svetainėje, naudojant nuspėjamus slaptažodžius arba perimant prisijungimo duomenis dėl kenkėjiškų programų veiklos svetainėje. kūrėjo sistema.
Pirmajame etape, kai naudojate komandų eilutės paslaugas arba rubygems.org svetainę, populiarių paketų prižiūrėtojai parodys įspėjimą apie būtinybę įjungti dviejų veiksnių autentifikavimą. Rugpjūčio 15 dieną rekomendacija bus pakeista privalomu reikalavimu įjungti dviejų veiksnių autentifikavimą, be kurio prieiga nebus suteikta. Prižiūrėtojai taip pat gaus el. pašto pranešimus likus mėnesiui ir savaitei prieš įjungdami dviejų veiksnių autentifikavimą.
4 m. IV ketvirtį numatoma išplėsti dviejų veiksnių autentifikavimo naudojimo reikalavimą kitoms RubyGems vartotojų kategorijoms (kriterijai dar nepatvirtinti; tikriausiai, kaip ir NPM atveju, aprėptis bus išplėsta iki 2022 populiariausių pakuočių).
Šaltinis: opennet.ru