rubygems.org guides 翻译七(安全)
目录
1.梗概
2.使用gem
3.构建gem
4.报告安全漏洞
一、梗概
安装一个gem后,允许你在你的app作用域中运行gem代码。同时他也暗指,如果你在gem server上安装了一个恶意的gem,那么你的server将被渗透。因此,gem的安全也是ruby社区经常讨论的一个主题。
rubygems已经有能力 cryptographically sign gems (加密签名gem)自从 version 0.8.11,这个签名使用gem cert产生一对秘钥,然后打包签名信息到gem中。gem install命令提供了一个可选的安全策略选项,使你可以在安装gem之前验证gem的签名。
然而,安全加密gem的方式并没有广泛使用。他需要许多 manual steps on the part of the developer,而且目前还没有一个完善的方式来验证gem的签名。新的签名模型例如X509 and OpenPGP可以去 rubygems-trust wiki, the RubyGems-Developers list and in IRC.
他的目标是改善签名系统,使之更加简单、透明。
二、使用gem
使用信任策略安装gem
-
gem install gemname -P HighSecurity: All dependent gems must be signed and verified.
-
gem install gemname -P MediumSecurity: All signed dependent gems must be verified.
-
bundle --trust-policy MediumSecurity: Same as above, except Bundler only recognizes the long --trust-policy flag, not the short -P.
-
Caveat: Gem certificates are trusted globally, such that adding a cert.pem for one gem automatically trusts all gems signed by that cert.
验证checksum
gem fetch gemname -v version
ruby -rdigest/sha2 -e "puts Digest::SHA512.new.hexdigest(File.read('gemname-version.gem'))
Know the risks of being pwned, as described by Benjamin Smith’s Hacking with Gems talk
三、构建gem
使用gem cert命令签名
1.创建自己的签名证书
cd ~/.ssh
gem cert --build your@email.com
chmod 600 gem-p*
使用你gemspecs中的邮箱
2.配置gemspec with cert
添加证书公钥到你的仓库
cd /path/to/your/gem
mkdir certs
cp ~/.ssh/gem-public_cert.pem certs/yourhandle.pem
git add certs/yourhandle.pem
添加证书路径到gemspec
s.cert_chain = ['certs/yourhandle.pem']
s.signing_key = File.expand_path("~/.ssh/gem-private_key.pem") if $0 =~ /gem\z/
3.Add your own cert to your approved list, 如下
gem cert --add certs/yourhandle.pem
4.编译、测试gem以便安装它
gem build gemname.gemspec
gem install gemname-version.gem -P HighSecurity
# or -P MediumSecurity if your gem depends on unsigned gems
5.Example text for installation documentation
MetricFu is cryptographically signed(加密签名方式)。 确定你安装的gem没有被 tampered(篡改) with:
添加公钥作为可信任的证书
gem cert --add <(curl -Ls https://raw.github.com/metricfu/metric_fu/master/certs/bf4.pem)
gem install metric_fu -P MediumSecurity
The MediumSecurity trust profile 会验证签名的gems, 但是允许安装未签名的依赖.
这是必须的,因为不是所有的 MetricFu’s 依赖都签名了,所以不能使用 HighSecurity。
引入release gem的checksum到你的仓库中
require 'digest/sha2'
built_gem_path = 'pkg/gemname-version.gem'
checksum = Digest::SHA512.new.hexdigest(File.read(built_gem_path))
checksum_path = 'checksum/gemname-version.gem.sha512'
File.open(checksum_path, 'w' ) {|f| f.write(checksum) }
# add and commit 'checksum_path'
OpenPGP不建议使用,因为没有被支持。
is not recommended due to lack of support.请查看 with Yorick Peterse.
四、报告安全漏洞
1.报告他人gem的安全漏洞
如果了发现了某人的gem存在安全漏洞,第一步就是检查他是否一个已知的漏洞。
如果是一个未被发现的漏洞,你可以私下联系作者,尽量不要pull request或者issue在开源的项目中,解释这个漏洞,并提供解决方案。
2.报告自己gem的安全漏洞
首先request a CVE identifier by mailing cve-assign@mitre.org。这个identifier指明这个漏洞在讨论中具有唯一性。
然后找出哪些人使用了你的gem,需要解决这个漏洞。这样牵涉到更新一补丁,并建议他们更新。
最后,你需要告知人们这个漏洞,目前没有很好的地方来发布这些漏洞信息,但是你可以使用以下这些方案:
-
发送一封邮件到 Ruby Talk mailing list (ruby-talk@ruby-lang.org) ,主题 prefix [ANN][Security] outlining the vulnerabilty, which versions of your gem it affects and what actions those depending on the gem should take.
-
把他添加到开源漏洞数据库,例如 OSVDB。You can do this by emailing moderators@osvdb.org and/or messaging @osvdb on GitHub or Twitter.
五、扩展阅读
Several sources were used for content for this guide:
-
How to cryptographically sign your RubyGem - Step-by-step guide
- Signing rubygems - Pasteable instructions
- Twitter gem gemspec
-
RubyGems Trust Model Overview, doc
- Let’s figure out a way to start signing RubyGems
- A Practical Guide to Using Signed Ruby Gems - Part 3: Signing your Own
- Also see the Resources page.
您当前的位置: