Na ochranu pred útokmi na prevzatie účtu zameranými na získanie kontroly nad závislosťami úložisko balíkov RubyGems oznámilo, že prechádza na povinnú dvojfaktorovú autentifikáciu pre účty, ktoré uchovávajú 100 najpopulárnejších balíkov (podľa sťahovania), ako aj balíky s viac ako 165 miliónov stiahnutí. Použitie dvojfaktorovej autentifikácie značne sťaží získanie prístupu v prípade, že dôjde k ohrozeniu poverení vývojára, napríklad opätovným použitím hesla na napadnutej stránke, použitím predvídateľných hesiel alebo zachytením poverení v dôsledku aktivity škodlivého softvéru na vývojársky systém.
V prvej fáze, keď používate nástroje príkazového riadka alebo webovú stránku rubygems.org, správcovia populárnych balíkov zobrazia varovanie o potrebe povoliť dvojfaktorovú autentifikáciu. Odporúčanie bude 15. augusta nahradené povinnou požiadavkou umožniť dvojfaktorovú autentifikáciu, bez ktorej nebude udelený prístup. Správcovia budú tiež dostávať e-mailové upozornenia jeden mesiac a týždeň pred povolením dvojfaktorovej autentifikácie.
V 4. štvrťroku 2022 sa plánuje rozšírenie požiadavky na používanie dvojfaktorovej autentifikácie pre ďalšie kategórie používateľov RubyGems (kritériá ešte nie sú schválené, pravdepodobne, ako v prípade NPM, bude pokrytie rozšírené na 500 najobľúbenejších balíčkov).
Zdroj: opennet.ru