Auf den Punkt: RubyGems führt eine verzögerbare Wartezeit für neu veröffentlichte Pakete ein, um die Zeitspanne zu vergrößern, in der Malware in Gems entdeckt werden kann.
Das RubyGems-Team hat ein neues Cooldown-Feature in Bundler integriert, das Ruby-Entwickler vor Supply-Chain-Angriffen schützt, indem neu veröffentlichte Pakete erst nach einer konfigurierbaren Verzögerung installiert werden können.
Jüngste Angriffe auf Software-Repositories haben sich darauf konzentriert, Entwickler-Credentials zu stehlen, um bösartigen Code in ihre Pakete einzuschleusen. Wenn andere Entwickler diese manipulierten Versionen installieren, werden auch deren Credentials kompromittiert. Dieses Muster setzt sich fort und vergrößert den Schaden exponentiell. Das größte Risiko besteht im Zeitfenster zwischen der Manipulation und der Entdeckung — in diesem Zeitraum können infizierte Pakete installiert werden.
Das RubyGems-Team hat daher einen neuen Cooldown-Parameter in Bundler ergänzt. Dieses Feature verzögert die Installation neuer Gem-Versionen um eine konfigurierbare Anzahl von Tagen. Das System prüft den Zeitstempel jeder neuen Gem-Version: Nur ältere Versionen werden sofort verfügbar, während neue Versionen erst nach Ablauf der Abkühlungsphase installiert werden dürfen. Dies gibt anderen Entwicklern und Security-Tools Gelegenheit, Pakete auf bösartigen Code zu untersuchen, bevor sie in Produktionssysteme gelangen.
Für Fälle, in denen eine sofortige Aktualisierung notwendig ist — etwa wenn ein bekanntermaßen sicheres Paket eine kritische Sicherheitslücke schließt — kann die Verzögerung explizit überschrieben werden. Dies ermöglicht eine Balance zwischen Sicherheit gegen manipulierte Pakete und Flexibilität für legitime Patch-Vorgänge.
Quelle: www.csoonline.com · Erschienen 5. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.