https://ruby-china.org/never en-us <p>omniauth-weibo-oauth2 的源码被污染，刚刚 (Sat, 21 Sep 2019 13:44:03 +0000) 向 RubyGems.org 推送了 0.4.6 版本，由于该 GEM 没有在 github 上留下代码，在我检查 Gem 源码时发现被植入后门：</p> <p><img src="https://l.ruby-china.com/photo/2019/f82c82b1-b93f-4ac9-8363-b09db42f023a.jpeg!large" title="" alt=""></p> <p>SHA 256 CHECKSUM: 89854825a6316210931fec136e30b88f383586cf93eb8e65b1ee45143eebc2fa</p> <p><a href="/huacnlee" class="user-mention" title="@huacnlee"><i>@</i>huacnlee</a> <a href="/beenhero" class="user-mention" title="@beenhero"><i>@</i>beenhero</a> </p> never Sat, 21 Sep 2019 23:04:34 +0800 https://ruby-china.org/topics/39074 https://ruby-china.org/topics/39074 <p>Hello <a href="/beenhero" class="user-mention" title="@beenhero"><i>@</i>beenhero</a> ,</p> <p>首先感谢你的作品 beenhero/omniauth-weibo-oauth2 , 今天我为 <a href="https://zammad.org" rel="nofollow" target="_blank" title="">zammad helpdesk</a> 添加 新浪微博 OAuth2 登录功能时使用了你的 Gem, 一直提示 callback error, 之后在代码里额外再将填在新浪里的 callback uri 带出来之后正常，正要准备拉一个 PR 给你的时候，发现另外一位外国朋友已经早就发现并修正了，人家拉了一个 <a href="https://github.com/beenhero/omniauth-weibo-oauth2/pull/24" rel="nofollow" target="_blank" title="">PR</a> 并谦虚地说：</p> <blockquote> <p>but I'm translating via Google Translate, so I may have misunderstood their issue</p> </blockquote> <p>所以，请问一下，是否有空合并一下这个 PR, 并更新一下 gem?</p> <p>如果没有空处理，是否可以将该 gem 移交给其他的朋友，或是放到 ruby-china 社区下面？如果暂时没有找到合适的朋友，我也非常乐意暂时代为处理。<a href="https://github.com/NeverMin" rel="nofollow" target="_blank" title="">NeverMin @ GitHub</a></p> <p>同时期待加入一个流行 (并且是你认为合适) 的许可证，我相信 MIT, GPL 等都很受大家欢迎。如果 <a href="/beenhero" class="user-mention" title="@beenhero"><i>@</i>beenhero</a> 没有看到，也请他相熟的朋友代为转告此消息。</p> never Sun, 24 Sep 2017 18:06:26 +0800 https://ruby-china.org/topics/34241 https://ruby-china.org/topics/34241