RubyGems velvoittaa monitekijäisen todennuksen suosituille projekteille

Julkaistu: Elokuu 19, 2022

Ruby-ohjelmointikielipakettien hallinta RubyGems on ryhtynyt toimiin monitekijäisen todennuksen (MFA) määräämiseksi turvatakseen suosittujen projektien (helmien) ylläpitäjien tilit.

"Tänään alamme pakottaa MFA-tukea yli 180 miljoonan latauksen jalokivien omistajiin", lukee Jenny Shen's. ilmoitus RubyGems-blogissa maanantaina. "Tämän luokan käyttäjät, joilla MFA ei ole käytössä käyttöliittymässä ja sovellusliittymässä tai käyttöliittymän ja "jalokivikirjautumisen" tasolla, eivät voi muokata profiiliaan verkossa, suorittaa etuoikeutettuja toimintoja (esim. työntää ja nykiä helmiä tai lisätä ja poistaa jalokivien omistajat) tai kirjaudu sisään komentorivillä, kunnes he määrittävät MFA:n."

Vaikka tämä uusi käytäntö koskee pääasiassa jalokivien omistajia, joilla on yli 180 miljoonaa latausta, ylläpitäjät, joilla on 165–180 miljoonaa latausta, saavat myös suosituksia komentoriviliittymän (CLI) ja käyttöliittymän (UI) kautta.

Tämä päätös tuli lisäturvatoimenpiteenä tilien haltuunottoa vastaan, joka on yksi yleisimmistä ja vaarallisimmista ohjelmistotoimitusketjun hyökkäyksistä. Varsinkin erittäin suositun tilin haltuunotto antaa uhkatekijöille mahdollisuuden levittää haittaohjelmia helposti.

Phishing, sosiaalinen suunnittelu, ja virheellinen tunnistetietojen hallinta (heikot salasanat, saman salasanan käyttö useille tileille) mahdollistavat tilin haltuunottohyökkäyksiä. Pakollinen MFA saattaa siksi olla välttämätön ylimääräinen suojatoimenpide näitä hyökkäyksiä vastaan.

"Tämä politiikka saattaisi meidät linjaan muiden pakettiekosysteemien politiikan kanssa", sanoi Shen. "Lisäksi työskentelemme parhaillaan myös WebAuthn-tuen lisäämiseksi. Ylläpitäjät voisivat käyttää laitteistotunnuksia, biometrisiä avaimia ja muita WebAuthn-tuettuja laitteita monitoimilaitteena.