https://withatwist.dev/strong-password-rubygem-hijacked.html
估计是维护者账号被盗,然后发布了一个带漏洞的版本。
这好像是第二次有 gem 被投毒,上一次是 https://ruby-china.org/topics/38345
对于 gem 维护者:
- 确保自己使用了强密码。
- 不要在不安全环境登陆 rubygems。
对于 gem 使用者:
- 尽量使用知名作者/组织维护的 gem。
- 尽量 review 每个依赖。
https://withatwist.dev/strong-password-rubygem-hijacked.html
估计是维护者账号被盗,然后发布了一个带漏洞的版本。
这好像是第二次有 gem 被投毒,上一次是 https://ruby-china.org/topics/38345
对于 gem 维护者:
对于 gem 使用者: