RubyGems nakazuje uwierzytelnianie wieloskładnikowe dla popularnych projektów

Opublikowany: 19 sierpnia 2022 r.

Menedżer pakietów języka programowania Ruby RubyGems podjął kroki w celu nakazania uwierzytelniania wieloskładnikowego (MFA) w celu zabezpieczenia kont opiekunów popularnych projektów (gemów).

„Dzisiaj zaczniemy egzekwować MFA od właścicieli klejnotów z łączną liczbą ponad 180 milionów pobrań”, przeczytaj Jenny Shen zapowiedź na blogu RubyGems w poniedziałek. „Użytkownicy w tej kategorii, którzy nie mają włączonej usługi MFA w interfejsie użytkownika i interfejsie API lub na poziomie „podpisywania za pomocą klejnotów”, nie będą mogli edytować swojego profilu w Internecie, wykonywać uprzywilejowanych czynności (tj. właścicieli klejnotów) lub zaloguj się w wierszu poleceń, dopóki nie skonfigurują usługi MFA”.

Chociaż ta nowa polityka dotyczy głównie właścicieli klejnotów, którzy mają ponad 180 milionów pobrań, opiekunowie, którzy mają od 165 do 180 milionów pobrań, również otrzymają rekomendacje za pośrednictwem interfejsu wiersza poleceń (CLI) i interfejsu użytkownika (UI).

Decyzja ta była dodatkowym zabezpieczeniem przed przejęciami kont, które są jedną z najczęstszych i najniebezpieczniejszych form ataków w łańcuchu dostaw oprogramowania. Przejęcie konta, zwłaszcza bardzo popularnego, umożliwia cyberprzestępcom łatwe rozpowszechnianie złośliwego oprogramowania.

phishing, inżynieria społeczna, a niewłaściwe zarządzanie poświadczeniami (słabe hasła, używanie tego samego hasła do wielu kont) pozwala na ataki polegające na przejęciu kont. W rezultacie obowiązkowa pomoc MFA może być niezbędnym dodatkowym zabezpieczeniem przed tymi atakami.

„Ta polityka dostosowałaby nas do zasad stosowanych przez inne ekosystemy pakietów” – powiedział Shen. „Ponadto pracujemy również nad dodaniem obsługi WebAuthn. Opiekunowie będą mogli używać tokenów sprzętowych, kluczy biometrycznych i innych urządzeń obsługujących WebAuthn jako swoich urządzeń wieloskładnikowych”.