扫码关注我们
RubyGems 要求前100名软件包维护人员使用 MFA

Ruby 编程语言的官方软件包管理器已经宣布,它已经开始在至少前100名的 RubyGems 软件包上强制使用双重身份验证(MFA)。

该公司周一宣布,将开始对总下载量超过1.8亿的宝石所有者实施 MFA。

RubyGems 在一篇博客文章中解释道: “这个类别的用户如果在 UI 和 API 或者 UI 和 gem 登录级别上没有启用 MFA,那么他们将无法在网络上编辑他们的个人资料,执行特权操作[ ... ]或者在命令行上登录,直到他们配置了 MFA。”。

此外,软件包管理员还说,所有总下载量超过1.65亿的 gems 维护者将继续收到关于 MFA 的推荐提醒。一旦 gem 的总下载量达到1.8亿次,就需要 MFA 了。

RubyGems 指的是 NPM 和 PyPI,他说: “这项政策将使我们与其他软件包生态系统所制定的政策保持一致。”。对于上下文,NPM 在2月份实现了强制性的 MFA,而 PyPI 在上个月紧随其后。

至于 RubyGems,软件包管理器在6月份首次提出了通过 MFA 使流行的 Ruby 软件包更加安全的想法,特别是为了防止帐户被收购,最近这种收购大量涌现。

两个月后,RubyGems 现在将 MFA 强制用于流行软件包,但该公司表示,未来打算将该功能扩展到更多软件包。

“我们计划增加 RubyGems 的 MFA 采用率。如果您对未来如何推出有想法,请加入我们的 RFC 知识库中的讨论,”RubyGems 写道。

托管服务还证实,它正在努力增加对 WebAuthn 的支持,WebAuthn 是一个 FIDO2项目组件和网络标准,旨在标准化基于网络的应用程序的认证。

RubyGems 补充说: “维护人员可以使用硬件令牌、生物密钥和其他支持 WebAuthn 的设备作为他们的多因素设备选择。”。

想了解更多关于 mFA 及其应用程序的信息,可以查看 Yubico 首席解决方案工程师尼克•萨金森(Nic Sarginson)的解释。