RubyGems вимагає багатофакторної автентифікації для популярних проектів

Опубліковано: Серпень 19, 2022

Менеджер пакетів мови програмування Ruby RubyGems вжив заходів для обов’язкової багатофакторної автентифікації (MFA), щоб захистити облікові записи супроводжуючих популярних проектів (gems).

«Сьогодні ми почнемо застосовувати MFA до власників дорогоцінних каменів із понад 180 мільйонами загальних завантажень», — читає Дженні Шен. оголошення у блозі RubyGems у понеділок. «Користувачі в цій категорії, у яких MFA не ввімкнуто на рівні інтерфейсу користувача та API або інтерфейсу користувача та «gem signin», не зможуть редагувати свій профіль у мережі, виконувати привілейовані дії (наприклад, натискати та тягнути дорогоцінні камені, додавати та видаляти власники дорогоцінних каменів), або ввійдіть у командний рядок, доки вони не налаштують MFA».

Хоча ця нова політика в основному стосується власників Gem із понад 180 мільйонами завантажень, супроводжувачі з від 165 до 180 мільйонів завантажень також отримають рекомендації через інтерфейс командного рядка (CLI) та інтерфейс користувача (UI).

Це рішення було прийнято як додатковий захід безпеки проти захоплення облікових записів, яке є однією з найпоширеніших і небезпечних форм атак на ланцюг поставок програмного забезпечення. Захоплення облікового запису, особливо дуже популярного, дозволяє зловмисникам легко поширювати зловмисне програмне забезпечення.

Фішинг, соціальна інженерія, а також неправильне керування обліковими даними (слабкі паролі, використання одного пароля для кількох облікових записів) сприяють атакам захоплення облікових записів. Тому обов’язковий MFA може бути необхідним додатковим заходом безпеки проти цих атак.

«Ця політика приведе нас у відповідність до політики інших пакетних екосистем», — сказав Шен. «Крім того, зараз ми також працюємо над додаванням підтримки WebAuthn. Супроводжувачі зможуть використовувати апаратні маркери, біометричні ключі та інші пристрої, що підтримують WebAuthn, як багатофакторний пристрій на вибір».