Ruby China

安全 strong_password Rubygem 被注入漏洞

Rei · July 08, 2019 · Last by ecnelises replied at July 08, 2019 · 6021 hits

https://withatwist.dev/strong-password-rubygem-hijacked.html

估计是维护者账号被盗,然后发布了一个带漏洞的版本。

这好像是第二次有 gem 被投毒,上一次是 https://ruby-china.org/topics/38345

对于 gem 维护者:

  1. 确保自己使用了强密码。
  2. 不要在不安全环境登陆 rubygems。

对于 gem 使用者:

  1. 尽量使用知名作者/组织维护的 gem。
  2. 尽量 review 每个依赖。
4 likes
No reference
ecnelises #1 July 08, 2019

Gem 作者记得打开 RubyGems 的两步验证!

You need to Sign in before reply, if you don't have an account, please Sign up first.