Команда, стоящая за RubyGems, сайтом для размещения пакетов для разработчиков Ruby, добавила новую функцию в bundler — инструмент для управления пакетами (или «джемами») Ruby, чтобы защитить разработчиков от недавней волны атак на цепочки поставок программного обеспечения: период охлаждения перед установкой недавно обновленных пакетов в их системах.
Недавние атаки на репозитории программного обеспечения были сосредоточены на краже учетных данных разработчиков с целью внедрения вредоносного кода в создаваемые ими пакеты, который затем крадет учетные данные других разработчиков при установке вредоносных обновлений и так далее. Пользователи репозиториев уязвимы, если они загружают затронутый пакет в короткий промежуток времени между его компрометацией и обнаружением и удалением вредоносных дополнений.
Для противодействия этому команда RubyGems добавила новый аргумент «cooldown» (охлаждение) в Bundler, который игнорирует джемы до тех пор, пока они не будут опубликованы в течение указанного количества дней. Это обеспечивает дополнительный уровень защиты от выпуска вредоносных пакетов, поскольку дает другим возможность выявить любой содержащийся в них вредоносный код до установки.
Система охлаждения работает путем проверки временной метки любых новых версий джемов. Любые новые дополнения к исходному коду должны будут исходить из старых версий; любые новые дополнения будут отложены до их проверки.
В ситуациях, когда ожидание нецелесообразно — например, при выпуске заведомо безопасного пакета для устранения опасной уязвимости в системе безопасности — задержку можно отменить.
Эта статья впервые появилась на InfoWorld.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Maxwell Cooter




