Open-Source-Supply-Chain: Rubygems sollen besser abgesichert werden

Ähnlich wie Github für das NPM- und Javascript-Ökosystem will nun auch die Ruby-Community ihre Pakete vor feindlichen Übernahmen schützen.

Artikel veröffentlicht am ,
Die Ruby-Community will eine bessere Authentifizierung für ihr Paketsystem einführen.
Die Ruby-Community will eine bessere Authentifizierung für ihr Paketsystem einführen. (Bild: Pixabay)

Die Programmiersprache Ruby sowie deren Paketsystem Rubygems sollen künftig besser gegen sogenannte Supply-Chain-Angriffe geschützt werden, wie es in einem aktuellen Blogeintrag der Entwicklercommunity heißt. Dazu wollen die Beteiligten eine Multi-Faktor-Authentifizierung (MFA) für die Betreuer der Gem genannten Pakete einführen. Hauptziel dieses Vorgehens ist es, mögliche Übernahmen von Paketen durch Dritte und Angreifer zu verhindern.

Stellenmarkt
  1. Informatiker / Elektrotechniker / Naturwissenschaftler (m/w/d) Softwarevalidierung und Softwaretesting
    RICHARD WOLF GMBH, Knittlingen (Raum Pforzheim / Karlsruhe)
  2. Solution Expert (m/w/d) Analytics
    EPLAN GmbH & Co. KG, deutschlandweit
Detailsuche

In der Ankündigung dazu heißt es: "Die Angriffe auf die Software-Supply-Chain nehmen zu, und auch unsere Gemeinschaft ist davon nicht verschont geblieben. Rubygems war in der Vergangenheit von Angriffen auf die Supply-Chain betroffen, daher ist es für uns wichtig, diese Risiken so weit wie möglich abzuschwächen. Die Empfehlung stärkerer Sicherheitspraktiken wie die Aktivierung der Multi-Faktor-Authentifizierung (MFA) bei beliebten Paketen ist ein erster Schritt zur Verbesserung der Sicherheit des Rubygems-Ökosystems."

Begonnen werden soll mit der Umsetzung für die hundert wichtigsten Pakete im Rubygem-Ökosystem. Deren Betreuer erhalten nun Warnungen über die Kommandozeile und die Webseite, falls MFA nicht für die Accounts aktiviert ist. Das gelte für alle, deren Pakete mehr als 165 Millionen Downloads haben. Bisher sei die MFA-Nutzung noch eine Empfehlung, ab Mitte August soll dies zwingend umgesetzt werden. Darüber hinaus heißt es, dass diese Anforderung künftig auch auf weitere Pakete ausgeweitet werden könnten.

In der Ankündigung verweisen die Beteiligten außerdem explizit auf ein ähnliches Vorgehen von Github für das Javascript-Paketsystem NPM. Auch hier wird bis Ende 2023 eine Zweifaktorauthentifizierung (2FA) verpflichtend für die Paketbetreuer eingeführt, beginnend mit vielfach genutzten Paketen. Gegen aktive Sabotage durch die Betreuer selbst hilft das aber nicht. So zeigte sich etwa im Zuge des Ukrainekriegs, dass Paketbetreuer ihre Stellung auch ausnutzen können, um Dateien zu löschen oder Botschaften auf Webseiten zu schmuggeln.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Unix-Nachfolger
Plan 9 sollte bessere Audio-Kompression bekommen als MP3

Die Entwicklung der Audio-Kompression und die schwierige MP3-Patentsituation hätte ohne das Nein eines Anwalts wohl anders ausgesehen.

Unix-Nachfolger: Plan 9 sollte bessere Audio-Kompression bekommen als MP3
Artikel
  1. Vision, Disruption, Transformation: Populäre Denkfehler in der Digitalisierung
    Vision, Disruption, Transformation
    Populäre Denkfehler in der Digitalisierung

    Der Essay Träge Transformation hinterfragt Schlagwörter des IT-Managements und räumt mit gängigen Vorstellungen auf. Die Lektüre ist aufschlussreich und sogar lustig.
    Eine Rezension von Ulrich Hottelet

  2. Hermit: Google analysiert italienischen Staatstrojaner
    Hermit
    Google analysiert italienischen Staatstrojaner

    Der Staatstrojaner einer italienische Firma funktioniert sogar in Zusammenarbeit mit dem ISP. Dafür braucht es nicht zwingend ausgefallene Exploits.

  3. Pro Electric SuperVan: Ford zeigt Elektro-Van mit 1.490 kW
    Pro Electric SuperVan
    Ford zeigt Elektro-Van mit 1.490 kW

    Ford hat auf dem Goodwood Festival of Speed den Ford Pro Electric SuperVan gezeigt, der die Tradition der Transit-Showcars des Unternehmens fortsetzt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Prime Video: Filme leihen 0,99€ • Alternate: Gehäuse & Co. von Fractal Design • Nur noch heute: 16.000 Artikel günstiger bei MediaMarkt • MindStar (Samsung 970 EVO Plus 250GB 39€) • Hori RWA 87,39€ • Honor X7 128GB 150,42€ • Phanteks Eclipse P200A + Glacier One 280 157,89€ [Werbung]
    •  /