RubyGems已成为最新的代码存储库,要求对其一些最大的发布商进行多重身份验证(MFA)。包管理器已开始通过 RubyGems命令行工具和网站向下载量超过1.65亿次的gem的维护者发出警报,建议他们在其帐户上启用MFA。虽然目前只是建议,但将于8月15日对这100多个帐户执行MFA。
“当今对软件的第二大常见攻击是由帐户访问被黑客入侵或泄露引起的供应链攻击,”该团队的一名成员说“MFA可以阻止几乎所有此类攻击。”
事实上,该团队表示,RubyGems过去曾受到供应链攻击的影响。
该计划是在未来几个月内将需求扩展到顶级维护者之外。
“我们将关注推出并解决我们从社区获得的任何反馈,然后我们将弄清楚我们想要如何前进,”该团队说。
“反应是积极的——迄今为止,我们还没有看到严重的回击。我们很高兴有这么多人意见一致。”
新要求遵循GitHub的类似举措,该公司上个月宣布,到明年年底,所有代码贡献者都将强制执行双重身份验证(2FA)。
微软子公司称赞此举是“确保供应链安全的第一步,也是最关键的一步”。
NPM也一直在努力实施2FA,最初是针对其前100名Node.js包维护者,但更广泛的部署已经在进行中。
而且,RubyGems团队成员说,“我们知道其他生态系统计划在未来宣布类似的政策——我们没有说谁,因为他们还没有准备好宣布。”
然而,一些人认为这些举措还远远不够。
“这是朝着正确方向迈出的最小一步,”身份管理公司Beyond Identity的首席技术官Jasson Casey说。
“它可以帮助抵御针对开发人员帐户的最简单的攻击,但使用像evilginx2这样的现成工具包可以轻松绕过大多数MFA 。”
“此外,这无助于保护源代码作者身份的完整性。最后,他们应该需要防网络钓鱼的 MFA 以及与开发人员身份相关联的源代码签名。”
评论已关闭。