Normalmente, quando installo una gemma Ruby, chiederei al mio amministratore di sistema di fare
sudo gem install gemname
Tuttavia, recentemente c'è stata una violazione della sicurezza con la fonte delle gemme, link , e mi chiedo quanto sia sicuro e se le alternative sono più sicuri.
I principali rischi connessi all'installazione da rubygems.org sono quelli
- rubygems.org, o uno dei suoi mirror, è stato violato e mi ha fornito un pacchetto malevolo invece di quello che volevo.
- Qualcuno ha impersonato con successo un autore gem e ha caricato un pacchetto dannoso.
Se volessi evitare tali rischi, sarebbe più sicuro clonare il repository git del codice sorgente per la gemma e costruire la gemma da solo?
Un problema con questo approccio è che non sono sicuro della sicurezza di Github, la principale fonte di repository git per i progetti relativi a Ruby. Github utilizza Ruby on Rails e il record di sicurezza di Github non è stato impeccabile: Egor Homakov è stato in grado di hackerare il sito Web e impegnarsi in un progetto senza credenziali appropriate.
L'uso del codice da github avrebbe meno rischi rispetto all'utilizzo di una gemma da rubygems.org?
Inoltre, non useresti sudo
durante l'installazione delle gemme di Ruby per ridurre il rischio?
Uso Ruby solo per un'applicazione a riga di comando che analizza i dati. Non uso Rails o una delle sue gemme, non sto creando un'applicazione web e la mia applicazione non ha bisogno di accedere a Internet.