随笔分类 - WhiteSource
摘要:RubyGems是一个软件包注册中心,用于为 Ruby 语言生态系统提供软件,它托管超过170,000个Ruby包(gem),在其生命周期内提供了近1000 亿次下载。
2022年5月6日,RubyGems披露存在一个可导致未授权访问的漏洞(CVE-2022-29176),该漏洞的CVSS评分为9.9。
RubyGems发布安全公告指出,“由于 yank 操作中存在一个漏洞,因此任何 RubyGems.org 用户都能越权删除并取代某些gems。”
本篇文章将分析CVE-2022-29176漏洞的性质,带来的影响评估和事件分析。
阅读全文
摘要:什么是软件供应链安全? 企业软件项目越来越趋于依靠第三方和开源组件,该类组件由个人创建和维护,由于其与开发重要软件的组织无雇佣关系,所以第三方不一定使用与软件开发组织相同的安全策略。这点存在着一定的安全风险,因为个人创建的安全策略与组织创建的安全策略二者之间存在着差异或不一致性,这可能会导致出现易被
阅读全文
