Om bescherming te bieden tegen aanvallen op het overnemen van accounts, gericht op het verkrijgen van controle over afhankelijkheden, heeft de pakketrepository van RubyGems aangekondigd dat het overgaat op verplichte tweefactorauthenticatie voor accounts die de 100 populairste pakketten (via downloads) onderhouden, evenals pakketten met meer dan 165 pakketten. Het gebruik van tweefactorauthenticatie maakt het veel moeilijker om toegang te krijgen als de inloggegevens van de ontwikkelaar in gevaar komen, bijvoorbeeld door een wachtwoord op een gecompromitteerde site opnieuw te gebruiken, voorspelbare wachtwoorden te gebruiken of inloggegevens te onderscheppen als gevolg van malware-activiteit op de site. het systeem van de ontwikkelaar.
In de eerste fase zullen beheerders van populaire pakketten, wanneer ze opdrachtregelhulpprogramma's of de website rubygems.org gebruiken, een waarschuwing weergeven over de noodzaak om tweefactorauthenticatie in te schakelen. Op 15 augustus wordt de aanbeveling vervangen door een verplichte vereiste om tweefactorauthenticatie in te schakelen, zonder welke geen toegang wordt verleend. Beheerders ontvangen ook e-mailmeldingen één maand en één week voordat tweefactorauthenticatie wordt ingeschakeld.
In het 4e kwartaal van 2022 is het de bedoeling om de vereiste voor het gebruik van tweefactorauthenticatie uit te breiden voor andere categorieën RubyGems-gebruikers (de criteria zijn nog niet goedgekeurd; waarschijnlijk zal de dekking, net als in het geval van NPM, uitgebreid naar de 500 populairste pakketten).
Bron: opennet.ru