RubyGems,Ruby的包管理器,在检测到其仓库中有数百个恶意gem后,已暂时暂停新用户注册。此举旨在阻止分发恶意软件的行为者。现有开发者仍可发布和更新gem,在审查新账户的同时保护生态系统的完整性。
暂停注册对Ruby工作流程的影响 🛑
注册暂停意味着任何没有现有账户的开发者将无法上传包,直至另行通知。这会影响依赖从头发布gem的新项目或外部贡献。然而,现有账户的更新和补丁仍然有效,从而能够维护关键库。RubyGems建议使用安全的API密钥并审查依赖关系,同时实施额外的恶意代码过滤措施。
那个没能注册新账户的网络罪犯 😈
就在坏人完善了用流行gem名称打包木马的技术时,RubyGems却当面关上了大门。现在他们只能满足于窃取旧账户,或者像其他人一样编写合法代码。可惜他们通过gem install统治世界的计划被搁置了。至少诚实的开发者可以松一口气,而不用担心他们的bundle update变成一场俄罗斯轮盘赌。