博客
返回博客文章
2022 年 8 月 15 日
要求热门 gem 的维护者启用 MFA
由沈金尼撰写
两个月前,我们概述了我们的 承诺,以提高 Ruby 的供应链的安全性。为了打击账户被入侵——这是第二大最常见的软件供应链攻击,我们宣布了一项策略,要求至少前 100 名 RubyGems 包使用多重身份验证 (MFA)。
从今天(2022 年 8 月 15 日)开始,我们将在总下载量超过 1.8 亿的 gem 的所有者上强制执行 MFA。在这个类别中的用户如果没有在 UI 和 API 或 UI 和 gem 登录 层级上启用 MFA,将无法在网上编辑他们的个人资料,执行 特权操作(即推送和拉取 gem,或添加和移除 gem 所有者),或在命令行上登录,直到他们 配置 MFA。
总下载量超过 1.65 亿的 gem 的维护者将继续在 UI 和 CLI 上收到建议提醒,直至 gem 达到 1.8 亿的总下载量。届时,MFA 将是必需的。
此策略将使我们与其他软件包生态系统制定的策略保持一致。我们计划增加 RubyGems 上的 MFA 采用率。如果您对如何处理未来的推广活动有任何想法,请加入我们的 RFC 存储库中的 讨论!
此外,我们当前还在努力增加对 WebAuthn 的支持。维护者将能够使用硬件令牌、生物特征密钥和其他 WebAuthn 支持的设备作为他们选择的多重设备。
请务必关注更新!一如既往,如果您对如何改善和提高 RubyGems 的安全性有任何反馈、问题或想法,请在 Bundler Slack 工作空间 中联系我们或打开 GitHub 问题。如果您需要基于今天推出的变更获得账户协助,请联系 [email protected]。