Open-Source-Supply-Chain: Rubygems sollen besser abgesichert werden
Ähnlich wie Github für das NPM- und Javascript-Ökosystem will nun auch die Ruby-Community ihre Pakete vor feindlichen Übernahmen schützen.

Die Programmiersprache Ruby sowie deren Paketsystem Rubygems sollen künftig besser gegen sogenannte Supply-Chain-Angriffe geschützt werden, wie es in einem aktuellen Blogeintrag der Entwicklercommunity heißt. Dazu wollen die Beteiligten eine Multi-Faktor-Authentifizierung (MFA) für die Betreuer der Gem genannten Pakete einführen. Hauptziel dieses Vorgehens ist es, mögliche Übernahmen von Paketen durch Dritte und Angreifer zu verhindern.
In der Ankündigung dazu heißt es: "Die Angriffe auf die Software-Supply-Chain nehmen zu, und auch unsere Gemeinschaft ist davon nicht verschont geblieben. Rubygems war in der Vergangenheit von Angriffen auf die Supply-Chain betroffen, daher ist es für uns wichtig, diese Risiken so weit wie möglich abzuschwächen. Die Empfehlung stärkerer Sicherheitspraktiken wie die Aktivierung der Multi-Faktor-Authentifizierung (MFA) bei beliebten Paketen ist ein erster Schritt zur Verbesserung der Sicherheit des Rubygems-Ökosystems."
Begonnen werden soll mit der Umsetzung für die hundert wichtigsten Pakete im Rubygem-Ökosystem. Deren Betreuer erhalten nun Warnungen über die Kommandozeile und die Webseite, falls MFA nicht für die Accounts aktiviert ist. Das gelte für alle, deren Pakete mehr als 165 Millionen Downloads haben. Bisher sei die MFA-Nutzung noch eine Empfehlung, ab Mitte August soll dies zwingend umgesetzt werden. Darüber hinaus heißt es, dass diese Anforderung künftig auch auf weitere Pakete ausgeweitet werden könnten.
In der Ankündigung verweisen die Beteiligten außerdem explizit auf ein ähnliches Vorgehen von Github für das Javascript-Paketsystem NPM. Auch hier wird bis Ende 2023 eine Zweifaktorauthentifizierung (2FA) verpflichtend für die Paketbetreuer eingeführt, beginnend mit vielfach genutzten Paketen. Gegen aktive Sabotage durch die Betreuer selbst hilft das aber nicht. So zeigte sich etwa im Zuge des Ukrainekriegs, dass Paketbetreuer ihre Stellung auch ausnutzen können, um Dateien zu löschen oder Botschaften auf Webseiten zu schmuggeln.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Stimmt - und danke für den Hinweis! Wir haben es korrigiert.
Kommentieren