Colin Thierry
Il gestore di pacchetti del linguaggio di programmazione Ruby RubyGems ha adottato misure per imporre l'autenticazione a più fattori (MFA) al fine di proteggere gli account dei gestori di progetti popolari (gem).
"Oggi cominceremo a imporre l'AMF ai proprietari di gemme con oltre 180 milioni di download totali", si legge in Jenny Shen's annuncio sul blog RubyGems lunedì. "Gli utenti di questa categoria che non hanno abilitato l'autenticazione a più fattori nell'interfaccia utente e nell'API o nell'interfaccia utente e a livello 'gem signin' non potranno modificare il proprio profilo sul Web, eseguire azioni privilegiate (es. push e yank gemme o aggiungere e rimuovere proprietari di gemme) o accedi dalla riga di comando fino a quando non configurano l'autenticazione a più fattori.
Sebbene questa nuova politica si applichi principalmente ai proprietari di gemme con oltre 180 milioni di download, i manutentori con un numero compreso tra 165 e 180 milioni di download riceveranno anche consigli tramite l'interfaccia a riga di comando (CLI) e l'interfaccia utente (UI).
Questa decisione è arrivata come misura di sicurezza aggiuntiva contro le acquisizioni di account, che è una delle forme più comuni e pericolose di attacchi alla catena di fornitura del software. L'acquisizione di un account, in particolare uno molto popolare, consente agli attori delle minacce di distribuire facilmente malware.
Phishing, Ingegneria socialee la gestione impropria delle credenziali (password deboli, utilizzo della stessa password per più account) consentono il verificarsi di attacchi di acquisizione di account. Di conseguenza, l'AMF obbligatoria potrebbe essere una misura di sicurezza aggiuntiva necessaria contro questi attacchi.
"Questa politica ci porterebbe in linea con le politiche fatte da altri ecosistemi di pacchetti", ha affermato Shen. “Inoltre, stiamo anche lavorando per aggiungere il supporto per WebAuthn. I manutentori sarebbero in grado di utilizzare token hardware, chiavi biometriche e altri dispositivi supportati da WebAuthn come dispositivo multifattore preferito.
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- Detective della sicurezza
- VPN
- sicurezza del sito Web
- zefiro