For å beskytte mot kontoovertakelsesangrep med sikte på å få kontroll over avhengigheter, har RubyGems-pakkelageret annonsert at det går over til obligatorisk tofaktorautentisering for kontoer som opprettholder de 100 mest populære pakkene (ved nedlasting), samt pakker med mer enn 165 millioner nedlastinger. Bruk av tofaktorautentisering vil gjøre det mye vanskeligere å få tilgang hvis utviklerens legitimasjon blir kompromittert, for eksempel ved å gjenbruke et passord på et kompromittert nettsted, bruke forutsigbare passord eller avskjære legitimasjon som et resultat av skadelig programvareaktivitet på utviklerens system.
På det første stadiet, når du bruker kommandolinjeverktøy eller nettstedet rubygems.org, vil vedlikeholdere av populære pakker vise en advarsel om behovet for å aktivere tofaktorautentisering. 15. august erstattes anbefalingen av et obligatorisk krav om å muliggjøre tofaktorautentisering, uten at det ikke gis tilgang. Vedlikeholdere vil også motta e-postvarsler én måned og én uke før de aktiverer tofaktorautentisering.
I 4. kvartal 2022 er det planlagt å utvide kravet om bruk av tofaktorautentisering for andre kategorier av RubyGems-brukere (kriteriene er ennå ikke godkjent; sannsynligvis, som i tilfellet med NPM, vil dekningen være utvidet til de 500 mest populære pakkene).
Kilde: opennet.ru