RubyGems zahteva večfaktorsko avtentikacijo za priljubljene projekte

Objavljeno dne: Avgust 19, 2022

Upravitelj paketov programskega jezika Ruby RubyGems je sprejel ukrepe za uveljavitev večfaktorske avtentikacije (MFA), da bi zavaroval račune vzdrževalcev priljubljenih projektov (gems).

»Danes bomo začeli uveljavljati MFA za lastnike draguljev z več kot 180 milijoni skupnih prenosov,« se glasi Jenny Shen Objava na blogu RubyGems v ponedeljek. »Uporabniki v tej kategoriji, ki nimajo omogočenega MFA na uporabniškem vmesniku in API-ju ali uporabniškem vmesniku in ravni 'gem signin', ne bodo mogli urejati svojega profila v spletu, izvajati privilegiranih dejanj (tj. potiskati in vlečeti draguljev ali dodajati in odstranjevati lastniki draguljev) ali se prijavijo v ukazno vrstico, dokler ne konfigurirajo MFA.«

Medtem ko ta nova politika velja predvsem za lastnike draguljev z več kot 180 milijoni prenosov, bodo vzdrževalci z med 165 in 180 milijoni prenosov prejeli tudi priporočila prek vmesnika ukazne vrstice (CLI) in uporabniškega vmesnika (UI).

Ta odločitev je prišla kot dodaten varnostni ukrep proti prevzemom računov, ki je ena najpogostejših in najnevarnejših oblik napadov na dobavno verigo programske opreme. Prevzem računa, še posebej zelo priljubljenega, akterjem groženj omogoča preprosto distribucijo zlonamerne programske opreme.

Ribarjenje, socialni inženiringin neustrezno upravljanje poverilnic (šibka gesla, uporaba istega gesla za več računov) omogočata napade na prevzem računa. Posledično je obvezna MFA lahko nujen dodatni varnostni ukrep proti tem napadom.

"Ta politika bi nas uskladila s politikami drugih paketnih ekosistemov," je dejal Shen. »Poleg tega trenutno delamo tudi na dodajanju podpore za WebAuthn. Vzdrževalci bi lahko uporabljali strojne žetone, biometrične ključe in druge naprave, ki podpirajo WebAuthn, kot svojo večfaktorsko napravo po izbiri.«