Normalmente, al instalar una gema de Ruby, le pido a mi administrador del sistema que haga
sudo gem install gemname
Sin embargo, recientemente hubo una brecha de seguridad con la fuente de gemas, enlace , y me pregunto qué tan seguro es esto y si existen alternativas son más seguros.
Los mayores riesgos involucrados con la instalación desde rubygems.org serían que
- rubygems.org, o uno de sus espejos, fue pirateado y me suministró un paquete malicioso en lugar del que yo quería.
- Alguien suplantó con éxito a un autor de gemas y cargó un paquete malicioso.
Si quisiera evitar tales riesgos, ¿sería más seguro clonar el repositorio git del código fuente de la gema y construir la gema yo mismo?
Un problema con este enfoque es que no estoy tan seguro de la seguridad de Github, la principal fuente de repositorios de git para proyectos relacionados con Ruby. Github usa Ruby on Rails, y el registro de seguridad de Github no ha sido perfecto: Egor Homakov pudo piratear el sitio web y comprometerse con un proyecto sin las credenciales adecuadas.
¿El uso del código de github tiene menos riesgo que el uso de una gema de rubygems.org?
Además, ¿no utilizaría sudo
al instalar Ruby Gems para reducir mi riesgo?
Uso Ruby solo para una aplicación de línea de comandos que analiza datos. No uso Rails ni ninguna de sus gemas, no estoy creando una aplicación web, y mi aplicación no necesita acceder a Internet.