Судя по всему, RubyGems решила пойти по стопам NPM и PyPi, пускай и с небольшим отставанием.
Теперь сопровождающие пакетов, у которых общее число загрузок превышает 180 миллионов, обязаны будут включать многофакторную аутентификацию с 15 августа 2022 года. Команда RubyGems подчеркнула , что если сопровождающие популярных пакетов не включат MFA, то потеряют возможность редактировать свой профиль на площадке, делиться с другими пользователями своими гемами, удалять их, а также добавлять и удалять владельцев гемов.
Если у гема меньше 180 и больше 165 миллионов загрузок, то владелец будет получать напоминания о необходимости включить MFA до тех пор, пока количество загрузок не достигнет порога в 180 миллионов.
Такие меры – попытка RubyGems укрепить цепочку поставок открытого ПО и предотвратить атаки на учетные записи разработчиков известных пакетов. Кроме того, не стоит упускать из вида новый тренд: злоумышленники все чаще выбирают в качестве своих целей репозитории с открытым кодом. Например, совсем недавно исследователи из Checkmarx, Kaspersky и Snyk обнаружили в PyPI множество вредоносных пакетов, которые можно использовать для проведения DDoS-атак, кражи учетных данных Discord и Roblox и платежной информации.
Гравитация научных фактов сильнее, чем вы думаете