För att skydda mot kontoövertagandeattacker som syftar till att få kontroll över beroenden har RubyGems-paketförrådet meddelat att det går över till obligatorisk tvåfaktorsautentisering för konton som upprätthåller de 100 mest populära paketen (efter antal nedladdningar), såväl som paket med fler än 165 miljoner nedladdningar. Att använda tvåfaktorsautentisering kommer att göra det mycket svårare att få åtkomst om utvecklarens autentiseringsuppgifter äventyras, till exempel genom att återanvända ett lösenord på en utsatt webbplats, använda förutsägbara lösenord eller avlyssning av autentiseringsuppgifter som ett resultat av skadlig programvara. på utvecklarens system.
I det första skedet, när du använder kommandoradsverktyg eller webbplatsen rubygems.org, kommer underhållare av populära paket att visa en varning om behovet av att aktivera tvåfaktorsautentisering. Den 15 augusti kommer rekommendationen att ersättas av ett obligatoriskt krav på att möjliggöra tvåfaktorsautentisering, utan vilket tillträde inte kommer att beviljas. Underhållare kommer också att få e-postmeddelanden en månad och en vecka innan tvåfaktorsautentisering aktiveras.
Under fjärde kvartalet 4 är det planerat att utöka kravet på användning av tvåfaktorsautentisering för andra kategorier av RubyGems-användare (kriterierna har ännu inte godkänts; troligen, som i fallet med NPM, kommer täckningen att vara utökas till de 2022 mest populära paketen).
Källa: opennet.ru