产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
流行的 ruby 库 bootstrap-sass 曝出后门代码。bootstrap-sass 是一个流行的 ruby ui 框架,它为开发人员提供了一个 sass 版本的 bootstrap。据 zdnet 的报导,上周三,开发者 derek barnes 在该库 3.2.0.3 版本中发现后门代码,这一小段具有恶意性质的代码如上图所示,它嵌入 ruby 或 ruby on rails 之后,会加载一个 cookie 文件并执行其内容。
据统计,虽然 bootstrap-sass 的安装量达到 2800 万,但是此后门版本仅有 1477 次安装,因为该库的最新版本是 3.4.1,而很少有开发者在使用旧版本分支,这一点提供了有效的安全保障。
报告公开的同一天该后门已经从 rubygems 中删除,bootstrap-sass 团队还撤销了对 rubygems 的访问权限,因为开发人员认为他们的帐户遭到入侵并被用来推送恶意代码。
此外,rubygems 和 github 上也发布了 bootstrap-sass v3.2.0.4 版本,完全删除了后门的相关内容。
试用申请
