Colin-Thierry
Le gestionnaire de packages du langage de programmation Ruby RubyGems a pris des mesures pour rendre obligatoire l'authentification multifacteur (MFA) afin de sécuriser les comptes des mainteneurs de projets populaires (gems).
"Aujourd'hui, nous allons commencer à appliquer la MFA aux propriétaires de gemmes avec plus de 180 millions de téléchargements au total", a lu Jenny Shen. annonce sur le blog RubyGems lundi. "Les utilisateurs de cette catégorie qui n'ont pas activé la MFA sur l'interface utilisateur et l'API ou l'interface utilisateur et le niveau de 'signature de gemme' ne pourront pas modifier leur profil sur le Web, effectuer des actions privilégiées (c'est-à-dire pousser et tirer des gemmes, ou ajouter et supprimer propriétaires de gem), ou connectez-vous sur la ligne de commande jusqu'à ce qu'ils configurent MFA. »
Bien que cette nouvelle politique s'applique principalement aux propriétaires de gemmes avec plus de 180 millions de téléchargements, les mainteneurs avec entre 165 et 180 millions de téléchargements recevront également des recommandations via l'interface de ligne de commande (CLI) et l'interface utilisateur (UI).
Cette décision est venue comme une mesure de sécurité supplémentaire contre les prises de contrôle de compte, qui est l'une des formes les plus courantes et les plus dangereuses d'attaques de la chaîne d'approvisionnement logicielle. La reprise d'un compte, en particulier d'un compte très populaire, permet aux pirates de distribuer facilement des logiciels malveillants.
Phishing, ingénierie sociale, et une mauvaise gestion des informations d'identification (mots de passe faibles, utilisation du même mot de passe pour plusieurs comptes) permettent aux attaques de prise de contrôle de compte de se produire. Par conséquent, l'authentification MFA obligatoire pourrait être une mesure de sécurité supplémentaire nécessaire contre ces attaques.
"Cette politique nous mettrait en conformité avec les politiques élaborées par d'autres écosystèmes de packages", a déclaré Shen. "De plus, nous travaillons également actuellement sur l'ajout de la prise en charge de WebAuthn. Les mainteneurs pourraient utiliser des jetons matériels, des clés biométriques et d'autres appareils pris en charge par WebAuthn comme appareil multifacteur de choix.
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- Détectives de sécurité
- VPN
- la sécurité d'un site web
- zéphyrnet
