RubyGems團隊近期為Bundler工具新增了一項功能,旨在幫助Ruby開發者抵禦日益頻繁的軟體供應鏈攻擊。該功能的核心機制是:在近期更新的軟體包被安裝到用戶系統之前,強制執行一段"冷卻等待期"。
當前針對軟體倉庫的攻擊手法主要集中在竊取開發者賬戶憑證,進而將惡意代碼植入開發者所維護的軟體包中。一旦其他開發者安裝了被篡改的更新包,其憑證也會隨之遭到竊取,攻擊鏈由此不斷擴散。對於軟體倉庫的使用者而言,危險窗口期主要集中在惡意包被上傳到被發現並清除之間的這段短暫時間內,若在此期間下載了受影響的包,便會面臨安全風險。
為應對這一威脅,RubyGems團隊在Bundler中新增了一個冷卻參數(cooldown argument),允許開發者設定一個天數閾值,讓Bundler自動忽略發布時間未滿指定天數的軟體包。這一機制為防範惡意包的發布提供了額外的安全保障,使社區有足夠時間在軟體包被安裝前發現其中可能隱藏的惡意代碼。
該冷卻機制的工作原理是檢測各軟體包新版本的發布時間戳。所有新引入的依賴必須來自已通過等待期驗證的舊版本,新版本則會被延遲處理,直至通過驗證才可使用。
當然,在某些特殊情況下——例如某個經過確認的安全補丁包需要緊急修復嚴重漏洞時——開發者可以手動覆蓋該延遲設置,靈活繞過冷卻限制。
Q&A
Q1:RubyGems新增的Bundler冷卻機制是什麼?
A:RubyGems團隊在Bundler工具中新增了一個冷卻參數(cooldown argument),允許開發者設置一個天數閾值,讓系統自動跳過發布時間未滿指定天數的軟體包。這一機制的目的是在軟體包被安裝前,給社區留出足夠時間來識別其中是否含有惡意代碼,從而抵禦供應鏈攻擊。
Q2:軟體供應鏈攻擊是如何通過RubyGems傳播的?
A:攻擊者首先竊取開發者的賬戶憑證,然後將惡意代碼植入該開發者維護的Ruby軟體包中。當其他開發者下載並安裝了這些被篡改的包後,其憑證也會遭到竊取,攻擊就此擴散。危險窗口期為惡意包被上傳到被檢測移除之間的短暫時間段。
Q3:如果緊急安全補丁需要立即安裝,冷卻機制會不會造成阻礙?
A:不會造成強制性阻礙。Bundler的冷卻機制支持手動覆蓋,當開發者確認某個軟體包是可信的安全修復補丁、需要緊急安裝時,可以繞過冷卻等待期直接進行安裝,確保安全響應的靈活性不受影響。
