Para se proteger contra ataques de controle de contas que visam obter controle de dependências, o repositório de pacotes RubyGems anunciou que está migrando para a autenticação obrigatória de dois fatores para contas que mantêm os 100 pacotes mais populares (por downloads), bem como pacotes com mais de 165 milhões de downloads. O uso da autenticação de dois fatores tornará muito mais difícil obter acesso se as credenciais do desenvolvedor forem comprometidas, como reutilização de uma senha em um site comprometido, uso de senhas previsíveis ou interceptação de credenciais como resultado de atividade de malware no site. sistema do desenvolvedor.
No primeiro estágio, ao usar utilitários de linha de comando ou o site rubygems.org, os mantenedores de pacotes populares exibirão um aviso sobre a necessidade de habilitar a autenticação de dois fatores. No dia 15 de agosto, a recomendação será substituída por uma obrigatoriedade de habilitação da autenticação de dois fatores, sem a qual o acesso não será concedido. Os mantenedores também receberão notificações por email um mês e uma semana antes de ativar a autenticação de dois fatores.
No 4º trimestre de 2022, está prevista a ampliação da exigência de utilização de autenticação de dois fatores para outras categorias de usuários RubyGems (os critérios ainda não foram aprovados; provavelmente, como no caso do NPM, a cobertura será expandido para os 500 pacotes mais populares).
Fonte: opennet.ru