コリン・ティエリー
Ruby プログラミング言語パッケージ マネージャー RubyGems は、人気のあるプロジェクト (gem) のメンテナーのアカウントを保護するために、多要素認証 (MFA) を義務付ける措置を講じました。
「本日、総ダウンロード数が 180 億 XNUMX 万回を超える宝石の所有者に MFA の適用を開始します」と Jenny Shen の記事を読む 発表 月曜日の RubyGems ブログで。 「UI と API または UI で MFA が有効になっておらず、「gem サインイン」レベルを持たないこのカテゴリのユーザーは、Web 上で自分のプロファイルを編集したり、特権アクションを実行したり (つまり、gem のプッシュとヤンク、または追加と削除) を実行したりできません。 gem の所有者)、または MFA を構成するまでコマンドラインでサインインしてください。」
この新しいポリシーは主に 180 億 165 万回以上ダウンロードされた gem 所有者に適用されますが、180 億 XNUMX 万から XNUMX 億 XNUMX 万回ダウンロードされたメンテナーは、コマンド ライン インターフェース (CLI) とユーザー インターフェース (UI) を通じて推奨事項を受け取ります。
この決定は、ソフトウェア サプライ チェーン攻撃の最も一般的で危険な形態の XNUMX つであるアカウントの乗っ取りに対する追加のセキュリティ対策として行われました。 アカウント、特に非常に人気のあるアカウントを乗っ取ると、攻撃者はマルウェアを簡単に配布できます。
フィッシング詐欺, 社会工学、および不適切な認証情報管理 (脆弱なパスワード、複数のアカウントに同じパスワードを使用) により、アカウント乗っ取り攻撃が発生する可能性があります。 結果として、必須の MFA は、これらの攻撃に対する追加のセキュリティ対策として必要になる場合があります。
「このポリシーは、他のパッケージ エコシステムによって作成されたポリシーに沿ったものになります」と Shen 氏は述べています。 さらに、現在、WebAuthn のサポートの追加にも取り組んでいます。 メンテナーは、ハードウェア トークン、生体認証キー、およびその他の WebAuthn 対応デバイスを、選択した多要素デバイスとして使用できます。」
