ระบบจัดการแพ็กเกจซอฟต์แวร์ยอดนิยมหลายตัว เช่น NPM, PyPI เริ่มบังคับนักพัฒนาเจ้าของแพ็กเกจต้องยืนยันตัวตนแบบ MFA เพื่อป้องกันปัญหา supply chain attack นักพัฒนาโดนแฮ็กบัญชี แล้วถูกฝังมัลแวร์แพร่กระจายในวงกว้าง

RubyGems ระบบจัดการแพ็กเกจของภาษา Ruby เป็นรายล่าสุดที่เริ่มบังคับนักพัฒนาล็อกอินด้วย MFA แต่ยังจำกัดเฉพาะแพ็กเกจ (gems) ยอดนิยม 100 อันดับแรกเท่านั้น

RubyGems ใช้เกณฑ์ดูจำนวนยอดดาวน์โหลดรวมของแพ็กเกจ หากเกิน 180 ล้านครั้งจะถูกบังคับใช้ MFA และถ้าจำนวนเริ่มเข้าใกล้ลิมิต 165 ล้านครั้งจะได้รับคำเตือนให้เตรียมตัว ทางผู้ดูแลโครงการยังบอกว่ากำลังทำระบบให้รองรับ WebAuthn เพื่อให้นักพัฒนาสามารถใช้คีย์ฮาร์ดแวร์หรือไบโอเมทริกยืนยันตัวตน MFA ได้ด้วย

ที่มา – RubyGems via The Register