RubyGems pålegger multifaktorautentisering for populære prosjekter

Publisert på: August 19, 2022

Ruby programmeringsspråkpakkeansvarlig RubyGems har tatt skritt for å pålegge multifaktorautentisering (MFA) for å sikre kontoene til vedlikeholdere av populære prosjekter (edelstener).

"I dag vil vi begynne å håndheve MFA på eiere av edelstener med over 180 millioner totale nedlastinger," leste Jenny Shen's kunngjøring på RubyGems-bloggen på mandag. «Brukere i denne kategorien som ikke har MFA aktivert på UI og API eller UI og 'perle signin'-nivå, vil ikke kunne redigere profilen sin på nettet, utføre privilegerte handlinger (dvs. push og yank edelstener, eller legge til og fjerne perle-eiere), eller logg på på kommandolinjen til de konfigurerer MFA.»

Mens denne nye policyen hovedsakelig gjelder for edelstenseiere med mer enn 180 millioner nedlastinger, vil vedlikeholdere med mellom 165 millioner og 180 millioner nedlastinger også motta anbefalinger gjennom kommandolinjegrensesnittet (CLI) og brukergrensesnittet (UI).

Denne avgjørelsen kom som et ekstra sikkerhetstiltak mot kontoovertakelser, som er en av de vanligste og farligste formene for programvareforsyningskjedeangrep. Ved å overta en konto, spesielt en veldig populær, kan trusselaktører enkelt distribuere skadelig programvare.

Phishing, sosialteknikk, og feilaktig administrasjon av legitimasjon (svake passord, bruk av samme passord for flere kontoer) gjør at kontoovertakelsesangrep kan skje. Obligatorisk MFA kan være et nødvendig ekstra sikkerhetstiltak mot disse angrepene, som et resultat.

"Denne politikken ville bringe oss i tråd med retningslinjene laget av andre pakkeøkosystemer," sa Shen. «I tillegg jobber vi for tiden med å legge til støtte for WebAuthn. Vedlikeholdere vil kunne bruke maskinvaretokens, biometriske nøkler og andre WebAuthn-støttede enheter som deres valgfrie multifaktorenhet."