Для захисту від атак із захоплення облікових записів, націлених на отримання контролю над залежностями, репозиторій пакетів RubyGems оголосив про перехід до застосування обов'язкової двофакторою автентифікації для облікових записів, що супроводжують 100 найбільш популярних пакетів (за кількістю завантажень), а також пакетів кількість завантажень яких перевищує Застосування двофакторної аутентифікації суттєво ускладнить отримання доступу у разі компрометації облікових даних розробника, наприклад, при повторному використанні пароля на скомпрометованому сайті, застосуванні передбачуваних паролів або перехопленні облікових даних внаслідок активності зловмисного програмного забезпечення на системі розробника.
На першому етапі при використанні утиліт командного рядка або сайту rubygems.org супроводжуючим популярні пакети буде виводитись попередження про необхідність включення двофакторної аутентифікації. 15 серпня рекомендація зміниться обов'язковою вимогою включення двофакторної аутентифікації, без якої не надаватиметься доступ. За місяць та за тиждень до включення обов'язкової двофакторної автентифікації супроводжуючим також будуть надіслані повідомлення електронною поштою.
У 4 кварталі 2022 року планується розширити вимогу до застосування двофакторної аутентифікації та для інших категорій користувачів RubyGems (критерії поки що не затверджені, ймовірно, як у випадку з NPM, охоплення буде розширено до 500 найпопулярніших пакетів).
Джерело: opennet.ru