RubyGems.org 是 Ruby 编程社区的软件包注册表,现在要求流行“宝石”的维护者使用多因素身份验证 (MFA) 来保护他们的帐户。
RubyGems 维护者 Jenny Shen表示,从 8 月 15 日星期一开始,“我们将开始对总下载量超过 1.8 亿的 gem 的所有者强制执行 MFA。此类用户在 UI 和 API 或 UI 和 gem 上未启用 MFA登录级别将无法在 Web 上编辑他们的个人资料,执行特权操作(即推送和拉取 gem,或添加和删除 gem 所有者),或在命令行上登录,直到他们配置 MFA。”
总下载量在 1.65 亿到 1.8 亿之间的用户将通过 UI 和 CLI 收到推荐提醒。
据沉说,这些政策与其他包注册中心实施的政策是一致的,例如 PyPI 和 npm。
根据2021 年的一篇研究论文“Towards Measuring Supply Chain Attacks on Package Managers for Interpreted Languages”,增加的安全预防措施旨在为帐户接管(第二种最常见的软件供应链攻击)设置额外的障碍。
近年来,颠覆软件供应链的尝试激增,并且由于发生了一些引人注目的事件(SolarWinds、Kaseya和Log4j),促使那些进行防御的人更加努力。
该论文的作者声称,2018 年有 1 亿个恶意程序包,总共有 6 亿次下载。RubyGems 目前包含大约 185,000个 Gem ,已下载 1030 亿次。
最常见的供应链攻击涉及域名仿冒——使用与流行软件包基本相似的名称向注册机构提交恶意软件包,以期让开发人员大打出手。
但是,考虑到一个足够受欢迎的帐户,帐户接管为更广泛地传播恶意软件提供了机会。根据供应链攻击文件,由于代码社区专注于通过错误修复来改进安全性,帐户接管并没有受到尽可能多的关注。
来自美国乔治亚理工学院的论文作者解释说:“帐户劫持的发生是因为攻击者可以猜测的凭据薄弱,而社会工程攻击利用了许多攻击中所见的开源项目的协作性质。”
显而易见的解决方法是使用密码以外的方式保护帐户。
2019 年,Python 包索引 PyPI宣布引入双因素身份验证 (2FA) 作为登录安全性增强。2022 年 2 月,GitHub 开始要求前 100 个 npm 包的维护者使用 2FA,随后在 5 月增强了其 2FA 实施。
RubyGems在 6 月宣布打算部署 2FA,称 MFA 可以阻止 99.9%的帐户接管攻击。随着这项计划的实施,RubyGems 维护人员正在寻找额外的防御措施,例如将包依赖项的哈希添加到锁定文件中。
然而,制定针对供应链攻击的防御措施是不够的。考虑到 RubyGems自 2005 年发布的 v0.8.11 以来就支持加密签名包。然而,截至 2020 年 3 月,只有 1.4%的最新版本 gem 被签名。
可选的安全性通常与不安全感无法区分。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » RubyGems 现在需要顶级包维护者的多因素身份验证
