多くの保守者のアカウントがパッケージを介して悪意のあるコードを配布する標的になりうるような世界では、これらのアカウントの乗っ取りの防止に役立つより多くの手段を追加することが不可欠です。 2022年末に、ブラウザでのRubyGemsのアカウントを安全にするのに役立つハードウェアセキュリティトークンとpasskey対応を追加することを公表しました

今日からご自身の登録されたセキュリティ機器をRubyGems CLIの多要素認証方法として使うことができます! この機能はRubyGems 3.4.12以上で使えます。

セキュリティ機器が登録されている場合、コマンドラインでサインインした際にセキュリティ機器を使って認証するためにブラウザにリダイレクトされるでしょう。 もし有効にされていれば、同じ工程は他のMFAが有効なコマンドにも適用できます。

RubyGemsでのWebAuthnと多要素認証対応についてのより詳しいことは、手引きをあたってください。

お次は?

私達は時間ベースの一時パスワード (TOTP) の代替としてのWebAuthnに取り組み続けています。 近い将来、セキュリティ機器を登録する利用者は復元コードが与えられ、TOTPベースの認証を設定する必要なくアカウントの適切なMFA水準を選択できるようになるでしょう。

Rubyistにとってより安全でよりセキュアな生態系にするための投資を続けています。 更新にご期待ください!

RubyGemsをより良くよりセキュアにするやり方についてのフィードバック、質問、アイディアがありましたら、Bundler Slack workspaceでご連絡いただくか、GitHubのイシューを開いてください。