Torne os pacotes populares do Ruby mais seguros

By | Junho 13, 2022

Os ataques à cadeia de fornecimento de software estão aumentando e nossa comunidade não ficou ilesa. RubyGems foi afetado por ataques na cadeia de suprimentos no passado, por isso é importante para nós mitigar esses riscos o máximo possível. A recomendação de práticas de segurança mais fortes, como habilitar a autenticação multifator (MFA) em pacotes populares, é o primeiro passo para melhorar a segurança do ecossistema RubyGems.

Os downloads de contas são o segundo mais comum ataque às cadeias de fornecimento de software. A contramedida contra esse tipo de ataque é simples: habilitar o MFA. Ele pode fazer isso prevenir 99,9 por cento ataques de download de conta.

Como sugerido em MFA introdução de RFCRubyGems está começando a se mover em direção a uma maior adoção de autenticação multifator para mantenedores de joalheiros.

A partir de hoje (13 de junho de 2022), os mantenedores de pelo menos os 100 principais pacotes RubyGems começarão a ver alertas na ferramenta de linha de comando RubyGems e no site se a MFA não estiver habilitada em suas contas. Qualquer pessoa que mantenha uma joia com mais de 165 milhões de downloads verá esta recomendação.

Embora atualmente seja apenas uma recomendação, iniciaremos a implementação do MFA para os mantenedores dessas gems em dois meses (15 de agosto de 2022). Esta política nos alinhará com outros ecossistemas de pacotes (por exemplo, npm) assim como GitHubGenericName.

Os mantenedores afetados por esta política receberão lembretes por e-mail para habilitar a MFA com um mês de antecedência e, novamente, com uma semana de antecedência, a implementação entrará em vigor. Recomendamos que os mantenedores configurem seu MFA nível de autenticação para UI and API. No entanto, UI and gem signin também é aceitável.

Assim que essas mudanças de política forem totalmente concluídas para os detentores das gemas mais populares, pretendemos aumentar a cobertura estendendo os requisitos de MFA para mais gemas no futuro. Vamos notificá-lo com antecedência sobre quaisquer alterações propostas, mas entre em contato conosco Área de trabalho do Bundler Slack ou abra um Problema com o GitHub se você tiver quaisquer comentários, perguntas ou preocupações.

Estamos comprometidos em promover um ecossistema mais seguro para os rubistas. Este é um dos muitos passos que planejamos tomar nos próximos meses para manter um ecossistema saudável e confiável para todos. Fique conosco!

Deixe uma resposta

O seu endereço de email não será publicado.