RubyGems exige autenticação multifator para projetos populares

Publicado em: 19 de agosto de 2022

O gerenciador de pacotes da linguagem de programação Ruby RubyGems tomou medidas para exigir autenticação multifator (MFA) para proteger as contas dos mantenedores de projetos populares (gems).

“Hoje, começaremos a aplicar a MFA aos proprietários de gems com mais de 180 milhões de downloads totais”, diz Jenny Shen. anúncio no blog RubyGems na segunda-feira. “Usuários nesta categoria que não têm MFA ativado na interface do usuário e API ou interface do usuário e nível de 'login de gem' não poderão editar seu perfil na web, realizar ações privilegiadas (ou seja, enviar e extrair gems ou adicionar e remover proprietários de gems) ou entre na linha de comando até configurar o MFA.”

Embora essa nova política se aplique principalmente aos proprietários de gems com mais de 180 milhões de downloads, os mantenedores com entre 165 milhões e 180 milhões de downloads também receberão recomendações por meio da interface de linha de comando (CLI) e da interface do usuário (UI).

Essa decisão veio como uma medida de segurança adicional contra invasões de contas, que é uma das formas mais comuns e perigosas de ataques à cadeia de suprimentos de software. Assumir uma conta, especialmente uma muito popular, permite que os agentes de ameaças distribuam malware com facilidade.

Phishing, engenharia social, e o gerenciamento inadequado de credenciais (senhas fracas, usando a mesma senha para várias contas) permitem que ataques de controle de contas aconteçam. Como resultado, a MFA obrigatória pode ser uma medida de segurança extra necessária contra esses ataques.

“Esta política nos alinharia com as políticas feitas por outros ecossistemas de pacotes”, disse Shen. “Além disso, também estamos trabalhando para adicionar suporte ao WebAuthn. Os mantenedores poderiam usar tokens de hardware, chaves biométricas e outros dispositivos compatíveis com WebAuthn como seu dispositivo multifator de escolha.”