Upang maprotektahan laban sa mga pag-atake ng account takeover na naglalayong magkaroon ng kontrol sa mga dependency, ang RubyGems package repository ay nag-anunsyo na ito ay lilipat sa mandatoryong two-factor authentication para sa mga account na nagpapanatili ng 100 pinakasikat na package (sa pamamagitan ng mga pag-download), pati na rin ang mga package na may higit sa 165 milyong download. Ang paggamit ng two-factor authentication ay magiging mas mahirap makakuha ng access kung ang mga kredensyal ng developer ay nakompromiso, gaya ng muling paggamit ng password sa isang nakompromisong site, paggamit ng mga predictable na password, o pagharang ng mga kredensyal bilang resulta ng aktibidad ng malware sa sistema ng developer.
Sa unang yugto, kapag gumagamit ng command line utilities o ang rubygems.org website, ang mga maintainer ng mga sikat na package ay magpapakita ng babala tungkol sa pangangailangang paganahin ang two-factor authentication. Sa Agosto 15, ang rekomendasyon ay papalitan ng isang mandatoryong kinakailangan upang paganahin ang two-factor authentication, kung wala ang pag-access ay hindi ibibigay. Makakatanggap din ang mga maintainer ng mga notification sa email isang buwan at isang linggo bago i-enable ang two-factor authentication.
Sa ika-4 na quarter ng 2022, binalak na palawakin ang kinakailangan para sa paggamit ng dalawang-factor na pagpapatotoo para sa iba pang mga kategorya ng mga gumagamit ng RubyGems (ang pamantayan ay hindi pa naaprubahan; marahil, tulad ng sa kaso ng NPM, ang saklaw ay magiging pinalawak sa 500 pinakasikat na mga pakete).
Pinagmulan: opennet.ru