RubyGems impone l'autenticazione a più fattori per progetti popolari

Ripubblicato da Platone

Seguaci: 0

Colin Thierry

Pubblicato il: 19 Agosto 2022

Il gestore di pacchetti del linguaggio di programmazione Ruby RubyGems ha adottato misure per imporre l'autenticazione a più fattori (MFA) al fine di proteggere gli account dei gestori di progetti popolari (gem).

"Oggi cominceremo a imporre l'AMF ai proprietari di gemme con oltre 180 milioni di download totali", si legge in Jenny Shen's annuncio sul blog RubyGems lunedì. "Gli utenti di questa categoria che non hanno abilitato l'autenticazione a più fattori nell'interfaccia utente e nell'API o nell'interfaccia utente e a livello 'gem signin' non potranno modificare il proprio profilo sul Web, eseguire azioni privilegiate (es. push e yank gemme o aggiungere e rimuovere proprietari di gemme) o accedi dalla riga di comando fino a quando non configurano l'autenticazione a più fattori.

Sebbene questa nuova politica si applichi principalmente ai proprietari di gemme con oltre 180 milioni di download, i manutentori con un numero compreso tra 165 e 180 milioni di download riceveranno anche consigli tramite l'interfaccia a riga di comando (CLI) e l'interfaccia utente (UI).

Questa decisione è arrivata come misura di sicurezza aggiuntiva contro le acquisizioni di account, che è una delle forme più comuni e pericolose di attacchi alla catena di fornitura del software. L'acquisizione di un account, in particolare uno molto popolare, consente agli attori delle minacce di distribuire facilmente malware.

Phishing, Ingegneria socialee la gestione impropria delle credenziali (password deboli, utilizzo della stessa password per più account) consentono il verificarsi di attacchi di acquisizione di account. Di conseguenza, l'AMF obbligatoria potrebbe essere una misura di sicurezza aggiuntiva necessaria contro questi attacchi.

"Questa politica ci porterebbe in linea con le politiche fatte da altri ecosistemi di pacchetti", ha affermato Shen. “Inoltre, stiamo anche lavorando per aggiungere il supporto per WebAuthn. I manutentori sarebbero in grado di utilizzare token hardware, chiavi biometriche e altri dispositivi supportati da WebAuthn come dispositivo multifattore preferito.

Timestamp: 19 Agosto 202219 Agosto 2022

Timestamp: 4 agosto 2023

RubyGems richiede l'autenticazione a più fattori per progetti popolari

Ripubblicato da Platone

Di più da Detective della sicurezza

Google rimuove le estensioni VPN false che infettano 1.5 milioni di utenti Chrome

Gli hacker potrebbero aver sfruttato i difetti di sicurezza di Apple

Il pool di liquidità di SafeMoon Token si è prosciugato in un hack da 8.9 milioni di dollari

Bitdefender Labs rileva un aumento delle truffe di Halloween

L'FBI avverte di stazioni di ricarica per telefoni pubblici dannose

McAfee: il nuovo strumento di rilevamento dei deepfake audio vanta una precisione del 90%.

L'87% delle aziende vulnerabili agli attacchi segnala Microsoft

LastPass completa la divisione aziendale da GoTo

PIA completa il controllo di sicurezza e lancia l'aggiornamento per l'app Android

L'IRS fa trapelare accidentalmente dati riservati di 120,000 contribuenti

Il Congresso avvia indagini sulla violazione della posta elettronica di Microsoft mentre aumentano le preoccupazioni per la sicurezza informatica

Chi siamo

Ricerca verticale e Ai

Piattaforma

Rimani in contatto

Il mio account