科林蒂埃里
Ruby 编程语言包管理器 RubyGems 已采取措施强制执行多因素身份验证 (MFA),以保护流行项目 (gems) 维护者的帐户。
“今天,我们将开始对总下载量超过 180 亿的 gem 的所有者执行 MFA,”Jenny Shen 读到 公告 周一在 RubyGems 博客上。 “此类别中未在 UI 和 API 或 UI 上启用 MFA 和‘gem 登录’级别的用户将无法在 Web 上编辑他们的个人资料,执行特权操作(即推送和拉取 gem,或添加和删除gem 所有者),或在命令行上登录,直到他们配置 MFA。”
虽然这项新政策主要适用于下载量超过 180 亿的 gem 拥有者,但下载量在 165 亿至 180 亿之间的维护者也将通过命令行界面 (CLI) 和用户界面 (UI) 获得推荐。
这一决定是针对帐户接管的一项额外安全措施,帐户接管是最常见和最危险的软件供应链攻击形式之一。 接管一个帐户,尤其是一个非常受欢迎的帐户,可以让威胁参与者轻松分发恶意软件。
網絡釣魚, 社会工程学,以及不正确的凭据管理(弱密码,对多个帐户使用相同的密码)允许发生帐户接管攻击。 因此,强制 MFA 可能是针对这些攻击的必要额外安全措施。
“这项政策将使我们与其他包裹生态系统制定的政策保持一致,”沉说。 “此外,我们目前还在努力增加对 WebAuthn 的支持。 维护者将能够使用硬件令牌、生物特征密钥和其他支持 WebAuthn 的设备作为他们选择的多因素设备。”
