RubyGems est devenu le dernier référentiel de code à exiger une authentification multifacteur (MFA) pour certains de ses plus grands éditeurs.

Le gestionnaire de paquets a démarré alerter les mainteneurs de gemmes avec plus de 165 millions de téléchargements via l’outil de ligne de commande et le site Web RubyGems, leur recommandant d’activer MFA sur leurs comptes.

Bien qu’il ne s’agisse pour l’instant que d’une recommandation, l’AMF sera appliquée sur ces quelque 100 comptes le 15 août.

Sécuriser la chaîne d’approvisionnement

« La deuxième attaque la plus courante contre les logiciels aujourd’hui est les attaques de la chaîne d’approvisionnement résultant du piratage ou de la fuite de l’accès au compte », a déclaré un membre de l’équipe. La gorgée quotidienne. « MFA empêche presque toutes ces attaques de ce type. »

En effet, dit l’équipe, RubyGems a été touché par des attaques de la chaîne d’approvisionnement dans le passé.

EN RELATION Bibliothèque Python malveillante CTX supprimée du référentiel PyPI

Le plan est d’étendre l’exigence au-delà des principaux mainteneurs au cours des prochains mois.

« Nous allons surveiller le déploiement et répondre à tous les commentaires que nous recevons de la communauté, après quoi nous déterminerons comment nous voulons aller de l’avant », explique l’équipe.

« Les réponses ont été positives – nous n’avons vu aucun recul sérieux à ce jour. Nous sommes ravis que tant de gens soient sur la même longueur d’onde.

Sous clé

La nouvelle exigence fait suite à une décision similaire de GitHub, qui le mois dernier annoncé que l’authentification à deux facteurs (2FA) serait rendue obligatoire pour tous les contributeurs de code d’ici la fin de l’année prochaine.

La filiale de Microsoft a salué cette décision comme « la première et la plus critique étape vers la sécurisation de la chaîne d’approvisionnement ».

NPM s’est également efforcé d’appliquer 2FA, initialement pour ses 100 principaux mainteneurs de packages Node.js, mais avec un déploiement plus large déjà en cours.

Et, déclare le membre de l’équipe RubyGems, « Nous sommes au courant d’autres écosystèmes qui prévoient d’annoncer des politiques similaires à l’avenir – nous ne disons pas qui, car ils ne sont pas encore prêts à annoncer. »

Cependant, certains pensent que ces mesures ne vont pas assez loin.

« Il s’agit d’un pas minimal dans la bonne direction », a déclaré Jasson Casey, directeur de la technologie de la société de gestion d’identité Beyond Identity. La gorgée quotidienne.

« Cela peut aider contre les attaques les plus simples contre les comptes de développeurs, mais il est assez facile de contourner la plupart des MFA avec des kits prêts à l’emploi comme Evilginx2.”

« De plus, cela ne fait rien pour protéger l’intégrité de la paternité du code source. Enfin, ils devraient exiger une MFA résistante au phishing ainsi qu’une signature du code source liée à l’identité du développeur.

A NE PAS MANQUER La plate-forme de messagerie professionnelle Zimbra corrige une faille d’injection memcached qui met en péril les informations d’identification des utilisateurs