RubyGems, il gestore di pacchetti per Ruby, ha sospeso temporaneamente la registrazione di nuovi utenti dopo aver rilevato centinaia di gemme dannose nel suo repository. La misura mira a fermare gli attori che distribuiscono software dannoso. Gli sviluppatori esistenti possono ancora pubblicare e aggiornare gemme, proteggendo l'integrità dell'ecosistema mentre vengono revisionati i nuovi account.
Come la sospensione influisce sul flusso di lavoro in Ruby 🛑
La pausa nelle registrazioni implica che qualsiasi sviluppatore senza un account precedente non potrà caricare pacchetti fino a nuovo avviso. Questo ha un impatto su nuovi progetti o contributi esterni che dipendono dalla pubblicazione di gemme da zero. Tuttavia, gli aggiornamenti e le patch degli account esistenti rimangono attivi, consentendo di mantenere librerie critiche. RubyGems raccomanda di utilizzare chiavi API sicure e di revisionare le dipendenze, mentre implementa filtri aggiuntivi contro il codice dannoso.
Il criminale informatico che è rimasto senza un nuovo account 😈
Proprio quando i malintenzionati avevano perfezionato la loro tecnica di impacchettare trojan con nomi di gemme popolari, RubyGems chiude loro la porta in faccia. Ora dovranno accontentarsi di rubare account vecchi o scrivere codice legittimo come tutti gli altri. Peccato che il loro piano di dominare il mondo tramite gem install sia stato messo in pausa. Almeno gli sviluppatori onesti possono respirare senza che il loro bundle update sia una roulette russa.