安全 strong_password Rubygem 被注入漏洞

Rei · 2019年07月08日 · 最后由 ecnelises 回复于 2019年07月08日 · 6030 次阅读

https://withatwist.dev/strong-password-rubygem-hijacked.html

估计是维护者账号被盗,然后发布了一个带漏洞的版本。

这好像是第二次有 gem 被投毒,上一次是 https://ruby-china.org/topics/38345

对于 gem 维护者:

  1. 确保自己使用了强密码。
  2. 不要在不安全环境登陆 rubygems。

对于 gem 使用者:

  1. 尽量使用知名作者/组织维护的 gem。
  2. 尽量 review 每个依赖。

Gem 作者记得打开 RubyGems 的两步验证!

需要 登录 后方可回复, 如果你还没有账号请 注册新账号