Open-Source-Supply-Chain: Rubygems sollen besser abgesichert werden

Ähnlich wie Github für das NPM- und Javascript-Ökosystem will nun auch die Ruby-Community ihre Pakete vor feindlichen Übernahmen schützen.

Artikel veröffentlicht am ,
Die Ruby-Community will eine bessere Authentifizierung für ihr Paketsystem einführen.
Die Ruby-Community will eine bessere Authentifizierung für ihr Paketsystem einführen. (Bild: Pixabay)

Die Programmiersprache Ruby sowie deren Paketsystem Rubygems sollen künftig besser gegen sogenannte Supply-Chain-Angriffe geschützt werden, wie es in einem aktuellen Blogeintrag der Entwicklercommunity heißt. Dazu wollen die Beteiligten eine Multi-Faktor-Authentifizierung (MFA) für die Betreuer der Gem genannten Pakete einführen. Hauptziel dieses Vorgehens ist es, mögliche Übernahmen von Paketen durch Dritte und Angreifer zu verhindern.

Stellenmarkt
  1. IT-Security-Administrator*in (m/w/d)
    Landkreis Tübingen, Tübingen
  2. Informationssicherheitsbeauf- tragte:r
    Bürgerschaft der Freien und Hansestadt Hamburg, Hamburg
Detailsuche

In der Ankündigung dazu heißt es: "Die Angriffe auf die Software-Supply-Chain nehmen zu, und auch unsere Gemeinschaft ist davon nicht verschont geblieben. Rubygems war in der Vergangenheit von Angriffen auf die Supply-Chain betroffen, daher ist es für uns wichtig, diese Risiken so weit wie möglich abzuschwächen. Die Empfehlung stärkerer Sicherheitspraktiken wie die Aktivierung der Multi-Faktor-Authentifizierung (MFA) bei beliebten Paketen ist ein erster Schritt zur Verbesserung der Sicherheit des Rubygems-Ökosystems."

Begonnen werden soll mit der Umsetzung für die hundert wichtigsten Pakete im Rubygem-Ökosystem. Deren Betreuer erhalten nun Warnungen über die Kommandozeile und die Webseite, falls MFA nicht für die Accounts aktiviert ist. Das gelte für alle, deren Pakete mehr als 165 Millionen Downloads haben. Bisher sei die MFA-Nutzung noch eine Empfehlung, ab Mitte August soll dies zwingend umgesetzt werden. Darüber hinaus heißt es, dass diese Anforderung künftig auch auf weitere Pakete ausgeweitet werden könnten.

In der Ankündigung verweisen die Beteiligten außerdem explizit auf ein ähnliches Vorgehen von Github für das Javascript-Paketsystem NPM. Auch hier wird bis Ende 2023 eine Zweifaktorauthentifizierung (2FA) verpflichtend für die Paketbetreuer eingeführt, beginnend mit vielfach genutzten Paketen. Gegen aktive Sabotage durch die Betreuer selbst hilft das aber nicht. So zeigte sich etwa im Zuge des Ukrainekriegs, dass Paketbetreuer ihre Stellung auch ausnutzen können, um Dateien zu löschen oder Botschaften auf Webseiten zu schmuggeln.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Return to Monkey Island
Gameplay-Trailer zeigt neuen Guybrush Threepwood

Das dürfte nicht nur für Begeisterung sorgen: Erstmals ist Gameplay aus dem nächsten Monkey Island zu sehen - und die Hauptfigur.

Return to Monkey Island: Gameplay-Trailer zeigt neuen Guybrush Threepwood
Artikel
  1. Raumfahrt: US-Raumfrachter Cygnus führt ISS-Bahnkorrektur durch
    Raumfahrt
    US-Raumfrachter Cygnus führt ISS-Bahnkorrektur durch

    Der Westen kann auch ohne russisches Raumfahrzeug Bahnkorrekturen der ISS durchführen.

  2. WIK: Netzausbausteuer für Netflix und Co. schadet den Nutzern
    WIK
    Netzausbausteuer für Netflix und Co. schadet den Nutzern

    Werden Contentanbieter wie Netflix in Europa gezwungen, sich am Netzausbau zu beteiligen, schadet das am Ende den Nutzern. Das ergibt eine Analyse des WIK.

  3. Subventionen: Lindner will lieber Kitas als Elektroautos fördern
    Subventionen
    Lindner will lieber Kitas als Elektroautos fördern

    In der Debatte um die künftige Förderung von Elektroautos legt Finanzminister Christian Lindner nach. Die Kritik lässt nicht lange auf sich warten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Top-TVs bis 57% Rabatt • PS5 bestellbar • MindStar (Palit RTX 3080 Ti 1.099€, G.Skill DDR5-5600 32GB 189€) • Lenovo 34" UWQHD 144 Hz günstig wie nie: 339,94€ • Corsair Wakü 236,89€ • Top-Gaming-PC mit AMD Ryzen 7 RTX 3070 Ti 1.700€ • Alternate (Team Group SSD 1TB 119,90€)[Werbung]
    •  /