콜린 티에리
Ruby 프로그래밍 언어 패키지 관리자 RubyGems는 인기 있는 프로젝트(gems)의 관리자 계정을 보호하기 위해 다중 요소 인증(MFA)을 의무화하는 조치를 취했습니다.
Jenny Shen은 "오늘부터 총 다운로드 수가 180억 XNUMX천만 회가 넘는 보석 소유자에게 MFA를 시행할 것입니다."라고 말했습니다. 발표 월요일에 RubyGems 블로그에서. "UI 및 API 또는 UI 및 'gem 로그인' 수준에서 MFA가 활성화되지 않은 이 범주의 사용자는 웹에서 프로필을 편집하거나 권한 있는 작업(예: gem을 푸시 및 빼기, 추가 및 제거 gem 소유자) 또는 MFA를 구성할 때까지 명령줄에 로그인합니다."
이 새로운 정책은 주로 180억 165천만 회 이상의 다운로드를 가진 보석 소유자에게 적용되지만 180억 XNUMX만에서 XNUMX억 XNUMX천만 회 사이의 유지 관리자는 명령줄 인터페이스(CLI) 및 사용자 인터페이스(UI)를 통해 추천을 받게 됩니다.
이 결정은 가장 일반적이고 위험한 소프트웨어 공급망 공격 중 하나인 계정 탈취에 대한 추가 보안 조치로 나왔습니다. 특히 매우 인기 있는 계정을 인수하면 위협 행위자가 맬웨어를 쉽게 배포할 수 있습니다.
피싱 (Phishing), 사회 공학, 부적절한 자격 증명 관리(여러 계정에 동일한 암호를 사용하는 약한 암호)로 인해 계정 탈취 공격이 발생할 수 있습니다. 결과적으로 필수 MFA는 이러한 공격에 대한 필요한 추가 보안 조치일 수 있습니다.
Shen은 "이 정책은 다른 패키지 생태계에서 만든 정책과 일치하게 만들 것입니다."라고 말했습니다. “또한 현재 WebAuthn에 대한 지원을 추가하는 작업도 진행 중입니다. 유지 관리자는 하드웨어 토큰, 생체 인식 키 및 기타 WebAuthn 지원 장치를 선택한 다중 요소 장치로 사용할 수 있습니다.”
