Colin Thierry
Publicerad på: Augusti 19, 2022
Ruby programmeringsspråkspakethanterare RubyGems har vidtagit åtgärder för att tvinga fram multifaktorautentisering (MFA) för att säkra kontona för underhållare av populära projekt (ädelstenar).
"I dag kommer vi att börja tillämpa MFA på ägare av ädelstenar med över 180 miljoner totala nedladdningar," läser Jenny Shen's meddelande på RubyGems-bloggen på måndag. "Användare i den här kategorin som inte har MFA aktiverat på UI och API eller UI och 'gem inloggning'-nivå kommer inte att kunna redigera sin profil på webben, utföra privilegierade åtgärder (t.ex. pusha och rycka ädelstenar, eller lägga till och ta bort ädelstensägare), eller logga in på kommandoraden tills de konfigurerar MFA."
Även om denna nya policy huvudsakligen gäller ädelstensägare med mer än 180 miljoner nedladdningar, kommer underhållare med mellan 165 miljoner och 180 miljoner nedladdningar också att få rekommendationer via kommandoradsgränssnittet (CLI) och användargränssnittet (UI).
Detta beslut kom som en ytterligare säkerhetsåtgärd mot kontoövertaganden, vilket är en av de vanligaste och farligaste formerna av attacker i leveranskedjan för programvara. Att ta över ett konto, särskilt ett mycket populärt, gör att hotaktörer enkelt kan distribuera skadlig programvara.
Nätfiske, socialteknik, och felaktig hantering av autentiseringsuppgifter (svaga lösenord, användning av samma lösenord för flera konton) gör det möjligt att attackera kontoövertaganden. Obligatorisk MFA kan vara en nödvändig extra säkerhetsåtgärd mot dessa attacker, som ett resultat.
"Denna policy skulle föra oss i linje med de policyer som gjorts av andra paketekosystem", sa Shen. ”Dessutom arbetar vi för närvarande med att lägga till stöd för WebAuthn. Underhållare skulle kunna använda hårdvarutokens, biometriska nycklar och andra WebAuthn-stödda enheter som sin multifaktorenhet att välja mellan."
