RubyGems, Popüler Projeler için Çok Faktörlü Kimlik Doğrulamayı Zorunlu Kılar

Yayınlandı: Ağustos 19, 2022

Ruby programlama dili paket yöneticisi RubyGems, popüler projelerin (mücevherler) bakımcılarının hesaplarını güvence altına almak için çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılmak için adımlar attı.

Jenny Shen, "Bugün, toplamda 180 milyonun üzerinde indirmeye sahip mücevher sahiplerine MFA'yı uygulamaya başlayacağız" dedi. duyuru Pazartesi günü RubyGems blogunda. “UI ve API veya UI üzerinde MFA'yı etkinleştirmemiş ve 'mücevher oturum açma' düzeyinde bu kategorideki kullanıcılar, web'deki profillerini düzenleyemez, ayrıcalıklı eylemler gerçekleştiremez (örn. gem sahipleri) veya MFA'yı yapılandırana kadar komut satırında oturum açın."

Bu yeni politika esas olarak 180 milyondan fazla indirmeye sahip mücevher sahipleri için geçerli olsa da, 165 milyon ile 180 milyon arasında indirmeye sahip bakımcılar ayrıca komut satırı arayüzü (CLI) ve kullanıcı arayüzü (UI) aracılığıyla öneriler alacaklar.

Bu karar, yazılım tedarik zinciri saldırılarının en yaygın ve tehlikeli biçimlerinden biri olan hesap devralmalarına karşı ek bir güvenlik önlemi olarak geldi. Özellikle çok popüler olan bir hesabı devralmak, tehdit aktörlerinin kötü amaçlı yazılımları kolayca dağıtmasına olanak tanır.

Phishing, sosyal mühendislik, ve uygunsuz kimlik bilgisi yönetimi (zayıf parolalar, birden çok hesap için aynı parolanın kullanılması) hesap devralma saldırılarının gerçekleşmesine izin verir. Sonuç olarak, zorunlu MFA bu saldırılara karşı gerekli bir ekstra güvenlik önlemi olabilir.

Shen, "Bu politika, bizi diğer paket ekosistemleri tarafından yapılan politikalarla uyumlu hale getirecektir" dedi. "Ayrıca, şu anda WebAuthn için destek eklemek için de çalışıyoruz. Bakımcılar, donanım belirteçlerini, biyometrik anahtarları ve diğer WebAuthn destekli cihazları çok faktörlü tercihleri ​​​​olarak kullanabilecekler."