為了防止旨在獲得依賴項控制權的帳戶接管攻擊,RubyGems 軟體包儲存庫宣布,它將對維護100 個最受歡迎軟體包(按下載量)以及超過165 個軟體包的帳戶進行強制雙因素身份驗證。如果開發人員的憑證遭到洩露,例如在受感染的網站上重複使用密碼、使用可預測的密碼或由於網站上的惡意軟體活動而攔截憑證,那麼使用雙重認證將使獲取訪問變得更加困難。開發者係統。
在第一階段,當使用命令列實用程式或 rubygems.org 網站時,流行軟體包的維護者將顯示有關需要啟用雙重認證的警告。 15 月 XNUMX 日,該建議將被啟用雙重認證的強制性要求所取代,否則將不會授予存取權限。 維護人員還將在啟用兩因素身份驗證前一個月和一周收到電子郵件通知。
計劃在 4 年第四季度擴大對其他類別 RubyGems 用戶使用雙重認證的要求(該標準尚未獲得批准;可能就像 NPM 的情況一樣,覆蓋範圍將是擴展到2022 個最受歡迎的軟體包) 。
來源: opennet.ru