为了防止旨在获得依赖项控制权的帐户接管攻击,RubyGems 软件包存储库宣布,它将对维护 100 个最流行软件包(按下载量)以及超过 165 个软件包的帐户进行强制双因素身份验证。如果开发人员的凭据遭到泄露,例如在受感染的网站上重复使用密码、使用可预测的密码或由于网站上的恶意软件活动而拦截凭据,那么使用双因素身份验证将使获取访问变得更加困难。开发者系统。
在第一阶段,当使用命令行实用程序或 rubygems.org 网站时,流行软件包的维护者将显示有关需要启用双因素身份验证的警告。 15 月 XNUMX 日,该建议将被启用双因素身份验证的强制性要求所取代,否则将不会授予访问权限。 维护人员还将在启用两因素身份验证前一个月和一周收到电子邮件通知。
计划在 4 年第四季度扩大对其他类别 RubyGems 用户使用双因素身份验证的要求(该标准尚未获得批准;可能就像 NPM 的情况一样,覆盖范围将是扩展到 2022 个最受欢迎的软件包)。
来源: opennet.ru