Để bảo vệ chống lại các cuộc tấn công chiếm đoạt tài khoản nhằm giành quyền kiểm soát các phần phụ thuộc, kho lưu trữ gói RubyGems đã thông báo rằng họ đang chuyển sang xác thực hai yếu tố bắt buộc đối với các tài khoản duy trì 100 gói phổ biến nhất (bằng cách tải xuống), cũng như các gói có hơn 165 gói triệu lượt tải xuống. Sử dụng xác thực hai yếu tố sẽ khiến việc truy cập trở nên khó khăn hơn nhiều nếu thông tin xác thực của nhà phát triển bị xâm phạm, chẳng hạn như sử dụng lại mật khẩu trên trang web bị xâm nhập, sử dụng mật khẩu có thể đoán trước hoặc chặn thông tin xác thực do hoạt động của phần mềm độc hại trên hệ thống của nhà phát triển.
Ở giai đoạn đầu tiên, khi sử dụng tiện ích dòng lệnh hoặc trang web rubygems.org, người bảo trì các gói phổ biến sẽ hiển thị cảnh báo về nhu cầu kích hoạt xác thực hai yếu tố. Vào ngày 15 tháng XNUMX, khuyến nghị sẽ được thay thế bằng yêu cầu bắt buộc để kích hoạt xác thực hai yếu tố, nếu không có quyền truy cập sẽ không được cấp. Người bảo trì cũng sẽ nhận được thông báo qua email một tháng và một tuần trước khi kích hoạt xác thực hai yếu tố.
Vào quý 4 năm 2022, dự kiến sẽ mở rộng yêu cầu sử dụng xác thực hai yếu tố cho các danh mục người dùng RubyGems khác (các tiêu chí vẫn chưa được phê duyệt; có thể, như trường hợp của NPM, phạm vi bảo hiểm sẽ là mở rộng tới 500 gói phổ biến nhất).
Nguồn: opennet.ru