RubyGems、Ruby用パッケージ管理ツールは、リポジトリ内で数百の悪意あるgemを検出した後、新規ユーザー登録を一時的に停止しました。この措置は、有害なソフトウェアを配布する攻撃者を阻止することを目的としています。既存の開発者は引き続きgemの公開や更新が可能であり、新規アカウントを審査している間、エコシステムの整合性を保護します。
停止がRubyのワークフローに与える影響 🛑
登録停止により、既存のアカウントを持たない開発者は、追って通知があるまでパッケージをアップロードできなくなります。これは、ゼロからgemを公開する必要がある新規プロジェクトや外部からの貢献に影響を与えます。しかし、既存アカウントの更新やパッチは引き続き有効であり、重要なライブラリの維持が可能です。RubyGemsは、悪意のあるコードに対する追加フィルターを実装する一方で、安全なAPIキーの使用と依存関係の確認を推奨しています。
新規アカウントを取得できなかったサイバー犯罪者 😈
悪意ある者たちが、人気gemの名前を使ったトロイの木馬をパッケージ化する技術を完成させたまさにその時、RubyGemsは彼らの目の前で扉を閉ざしました。今や彼らは、古いアカウントを乗っ取るか、他の開発者と同じように正規のコードを書くしかありません。gem installを通じて世界征服を企てる彼らの計画が中断されたのは、残念なことです。少なくとも、正直な開発者は、自分のbundle updateがロシアンルーレットになることなく、安心して作業できます。