RubyGems giver mandat til multifaktorgodkendelse til populære projekter

Udgivet på: August 19, 2022

Ruby programmeringssprogpakke manager RubyGems har taget skridt til at påbyde multi-factor authentication (MFA) for at sikre konti hos vedligeholdere af populære projekter (perler).

"I dag vil vi begynde at håndhæve MFA på ejere af ædelstene med over 180 millioner samlede downloads," læste Jenny Shen's meddelelse på RubyGems-bloggen mandag. "Brugere i denne kategori, som ikke har MFA aktiveret på UI og API eller UI og 'perle login' niveau, vil ikke være i stand til at redigere deres profil på nettet, udføre privilegerede handlinger (dvs. push og yank perler, eller tilføje og fjerne ædelstensejere), eller log ind på kommandolinjen, indtil de konfigurerer MFA."

Mens denne nye politik hovedsageligt gælder for ædelstensejere med mere end 180 millioner downloads, vil vedligeholdere med mellem 165 millioner og 180 millioner downloads også modtage anbefalinger via kommandolinjegrænsefladen (CLI) og brugergrænsefladen (UI).

Denne beslutning kom som en yderligere sikkerhedsforanstaltning mod kontoovertagelser, som er en af ​​de mest almindelige og farlige former for softwareforsyningskædeangreb. At overtage en konto, især en meget populær, giver trusselsaktører mulighed for nemt at distribuere malware.

Phishing, social engineering, og ukorrekt styring af legitimationsoplysninger (svage adgangskoder, brug af den samme adgangskode til flere konti) gør det muligt for kontoovertagelsesangreb at ske. Obligatorisk MFA kan som følge heraf være en nødvendig ekstra sikkerhedsforanstaltning mod disse angreb.

"Denne politik ville bringe os i overensstemmelse med de politikker, der er lavet af andre pakke-økosystemer," sagde Shen. ”Derudover arbejder vi også i øjeblikket på at tilføje support til WebAuthn. Vedligeholdere ville være i stand til at bruge hardware-tokens, biometriske nøgler og andre WebAuthn-understøttede enheder som deres valgfrie multi-faktor enhed."