开源软件组件管理系统NuGet.org宣布,将从3月8日开始,要求账户都要激活双重验证,官方提到,他们参考了产业最佳实践,并在仔细评估之后作出这项决定。
由于未激活多因素身份验证的账户,在各种组件管理系统,都发生不少安全攻击事件,攻击者只需要使用一个密码,就能够破坏整个生态系统。组件管理器被入侵可能导致重大安全事件,影响波及多家企业中的供应链,另外,NuGet也提到,用于上传和管理组件的API密钥,也是恶意攻击者的目标之一。
官方表示,到目前为止,NuGet.org中的顶级作者采用双重验证的比率已经很高,超过83%,他们认知到,组件管理器在软件供应链中有着关键的作用,因此任何组件和账户都有可能成为攻击目标。
不过,有部分开发者,顾虑激活双重验证需要提供电话号码,官方解释,目前NuGet.org没有自己的双重验证机制,而是使用微软账户,以及工作或学校账户,这些账户有许多方法在不提供电话号码的情况下,满足双重验证的要求,包括WebAuthN、FIDO2安全密钥、身份验证器和一次性验证码等。
NuGet从3月8日开始,所有新账户都强制激活双重验证,并在两个月内逐步要求所有用户也开始激活双重验证,还有,官方计划让未满足双重验证条件下生成的API密钥失效,以确保所有经过身份验证的访问都是安全的,官方提到,他们会在这项政策实施前30天发出通知。
如果用户原本就已经激活双重验证,则不需要进行任何变更,未激活双重验证的账户,会被重定向微软账户,以及工作或学校账户的双因素注册画面,在NuGet.org使用双重验证并不会变更微软账户的全局双重验证配置,NuGet.org也无法访问用户双重验证注册信息。