Bağımlılıkların kontrolünü ele geçirmeyi amaçlayan hesap ele geçirme saldırılarına karşı koruma sağlamak için RubyGems paket deposu, en popüler 100 paketi (indirme sayısına göre) ve daha fazlasını içeren paketleri barındıran hesaplar için zorunlu iki faktörlü kimlik doğrulamasına geçeceğini duyurdu. 165 milyondan fazla indirme.İki faktörlü kimlik doğrulamanın kullanılması, geliştiricinin kimlik bilgilerinin ele geçirilmesi (örneğin, ele geçirilen bir sitede bir şifrenin yeniden kullanılması, tahmin edilebilir şifreler kullanılması veya kötü amaçlı yazılım etkinliği sonucunda kimlik bilgilerinin ele geçirilmesi) durumunda erişim elde etmeyi çok daha zorlaştıracaktır. geliştiricinin sisteminde.
İlk aşamada, popüler paketlerin bakımcıları, komut satırı yardımcı programlarını veya rubygems.org web sitesini kullanırken, iki faktörlü kimlik doğrulamanın etkinleştirilmesi gerektiğine dair bir uyarı görüntüleyecektir. 15 Ağustos'ta bu önerinin yerini, iki faktörlü kimlik doğrulamanın etkinleştirilmesine yönelik zorunlu bir gereklilik alacak, bu olmadan erişim izni verilmeyecektir. Bakımcılar ayrıca iki faktörlü kimlik doğrulamayı etkinleştirmeden bir ay ve bir hafta önce e-posta bildirimleri alacaklar.
4'nin 2022. çeyreğinde, diğer RubyGems kullanıcı kategorileri için iki faktörlü kimlik doğrulamanın kullanılması gereksiniminin genişletilmesi planlanıyor (kriterler henüz onaylanmadı; muhtemelen NPM örneğinde olduğu gibi kapsam genişletilecektir) en popüler 500 pakete genişletildi).
Kaynak: opennet.ru