Aby zabezpieczyć się przed atakami polegającymi na przejęciu kont, mającymi na celu przejęcie kontroli nad zależnościami, repozytorium pakietów RubyGems ogłosiło, że przechodzi na obowiązkowe uwierzytelnianie dwuskładnikowe dla kont zawierających 100 najpopularniejszych pakietów (poprzez pobrania), a także pakietów zawierających ponad 165 milionów pobrań. Korzystanie z uwierzytelniania dwuskładnikowego znacznie utrudni uzyskanie dostępu w przypadku naruszenia bezpieczeństwa danych uwierzytelniających programisty, na przykład poprzez ponowne użycie hasła w zaatakowanej witrynie, użycie przewidywalnych haseł lub przechwycenie danych uwierzytelniających w wyniku aktywności złośliwego oprogramowania na stronie systemu deweloperskiego.
W pierwszym etapie, korzystając z narzędzi wiersza poleceń lub strony rubygems.org, opiekunowie popularnych pakietów wyświetlą ostrzeżenie o konieczności włączenia uwierzytelniania dwuskładnikowego. 15 sierpnia zalecenie zostanie zastąpione obowiązkowym wymogiem umożliwienia uwierzytelniania dwuskładnikowego, bez którego dostęp nie zostanie przyznany. Opiekunowie będą również otrzymywać powiadomienia e-mailem na miesiąc i tydzień przed włączeniem uwierzytelniania dwuskładnikowego.
W IV kwartale 4 roku planowane jest rozszerzenie wymogu stosowania uwierzytelniania dwuskładnikowego na pozostałe kategorie użytkowników RubyGems (kryteria nie zostały jeszcze zatwierdzone; prawdopodobnie, podobnie jak w przypadku NPM, zakres ten zostanie rozszerzona do 2022 najpopularniejszych pakietów).
Źródło: opennet.ru