كولين تيري
اتخذ مدير حزمة لغة برمجة Ruby RubyGems خطوات لتفويض المصادقة متعددة العوامل (MFA) من أجل تأمين حسابات المشرفين على المشاريع الشهيرة (الأحجار الكريمة).
قالت Jenny Shen's إعلان على مدونة RubyGems يوم الاثنين. "المستخدمون في هذه الفئة الذين لم يتم تمكين MFA لديهم على واجهة المستخدم وواجهة برمجة التطبيقات أو واجهة المستخدم ومستوى" تسجيل الدخول إلى الأحجار الكريمة "لن يتمكنوا من تعديل ملفهم الشخصي على الويب أو تنفيذ الإجراءات المميزة (مثل دفع الجواهر وإزالتها أو الإضافة والإزالة أصحاب الأحجار الكريمة) ، أو سجّل الدخول في سطر الأوامر حتى يقوموا بتهيئة MFA. "
في حين أن هذه السياسة الجديدة تنطبق بشكل أساسي على مالكي الأحجار الكريمة مع أكثر من 180 مليون عملية تنزيل ، فإن المشرفين الذين لديهم ما بين 165 مليون و 180 مليون تنزيل سيتلقون أيضًا توصيات من خلال واجهة سطر الأوامر (CLI) وواجهة المستخدم (UI).
جاء هذا القرار كإجراء أمني إضافي ضد عمليات الاستحواذ على الحسابات ، والتي تعد واحدة من أكثر أشكال هجمات سلسلة توريد البرامج شيوعًا وخطورة. يسمح الاستحواذ على حساب ، وخاصة الحساب الشائع جدًا ، للجهات الفاعلة في التهديد بتوزيع البرامج الضارة بسهولة.
التصيد, هندسة اجتماعية، وإدارة بيانات الاعتماد غير الصحيحة (كلمات المرور الضعيفة ، باستخدام نفس كلمة المرور لحسابات متعددة) تسمح بحدوث هجمات الاستيلاء على الحساب. ونتيجة لذلك ، قد يكون أسلوب العائالت المتعددة الإلزامي إجراءً أمنيًا إضافيًا ضروريًا ضد هذه الهجمات.
قال شين: "ستجعلنا هذه السياسة متماشية مع السياسات التي وضعتها الأنظمة البيئية الأخرى". "بالإضافة إلى ذلك ، نحن نعمل حاليًا على إضافة دعم WebAuthn. سيكون القائمون على الصيانة قادرين على استخدام الرموز المميزة للأجهزة ، والمفاتيح البيومترية ، وغيرها من الأجهزة المدعومة من WebAuthn كجهاز متعدد العوامل مفضل لديهم ".
