لینک کوتاه مطلب : https://hsgar.com/?p=3021

ایمن تر کردن بسته های محبوب روبی

حملات به زنجیره تامین نرم افزار در حال افزایش است و جامعه ما بی ضرر نمانده است. RubyGems در گذشته تحت تأثیر حملات زنجیره تامین قرار گرفته است، بنابراین برای ما مهم است که این خطرات را تا حد امکان کاهش دهیم. توصیه شیوه‌های امنیتی قوی‌تر مانند فعال کردن احراز هویت چند عاملی (MFA) در بسته‌های محبوب اولین گام در جهت بهبود امنیت اکوسیستم RubyGems است.

تصاحب حساب ها هستند دومین مورد رایج حمله به زنجیره تامین نرم افزار اقدام متقابل در برابر این نوع حمله ساده است: فعال کردن MFA. انجام این کار می تواند جلوگیری از 99.9 درصد حملات تصاحب حساب

همانطور که در MFA RFC را عرضه کرد، RubyGems شروع به حرکت به سمت پذیرش بیشتر احراز هویت چندعاملی برای نگهدارندگان جواهرات کرده است.

از امروز (13 ژوئن 2022)، نگهبانان حداقل 100 بسته برتر RubyGems در صورت فعال نبودن MFA در حساب هایشان، هشدارها را در ابزار خط فرمان و وب سایت RubyGems مشاهده خواهند کرد. هر کسی که جواهری با بیش از 165 میلیون بار دانلود داشته باشد، این توصیه را مشاهده خواهد کرد.

اگرچه این در حال حاضر فقط یک توصیه است، اما ما تا دو ماه دیگر (15 اوت 2022) MFA را برای نگهبانان این جواهرات اعمال خواهیم کرد. این سیاست ما را با سایر اکوسیستم‌های بسته (مثلاً npm) همچنین GitHub.

نگهبانانی که تحت تأثیر این خط‌مشی قرار می‌گیرند، یادآوری‌های ایمیلی برای فعال کردن MFA یک ماه قبل و دوباره یک هفته قبل از اجرایی شدن این قانون دریافت می‌کنند. ما توصیه می کنیم که نگهبانان MFA خود را تنظیم کنند سطح احراز هویت به UI and API. با این حال، UI and gem signin نیز قابل قبول است

هنگامی که این تغییرات خط‌مشی برای نگهبانان محبوب‌ترین سنگ‌های قیمتی به طور کامل کامل شد، ما قصد داریم با گسترش الزامات MFA به سنگ‌های بیشتری در آینده، پوشش را افزایش دهیم. ما هر گونه تغییر پیشنهادی را از قبل اعلام خواهیم کرد، اما در این مدت لطفاً با ما تماس بگیرید فضای کاری Bundler Slack یا a را باز کنید مشکل GitHub اگر بازخورد، سوال یا نگرانی دارید.

ما متعهد به پرورش اکوسیستم ایمن تر و ایمن تر برای یاقوت پرستان هستیم. این یکی از گام‌هایی است که ما قصد داریم طی ماه‌های آینده انجام دهیم تا اکوسیستمی سالم و قابل اعتماد برای همه حفظ کنیم. گوش به زنگ باشید!

لینک منبع

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.