루비, 새로운 패키지 설치 전 ‘쿨다운’ 필터로 공급망 공격 방어

Source: Slashdot

Ruby의 패키지 호스팅 사이트를 이용한 대부분의 공급망 공격은 좁은 창을 악용한다는 내용이 Ruby 핵심 유지보수자 히로시 시바타의 새로운 블로그 게시물에 나와 있다.

그래서 패키지 관리 도구인 Bundler가 이제 새 버전을 “최소 N일 동안 공개된” 경우에만 허용하는 필터를 제공한다. 충분히 검증되지 않은 최신 릴리스는 창을 지나친 오래된 버전으로 대체된다.

이 기능은 오픈 방식으로 설계되었으며, 다른 생태계가 같은 문제에 어떻게 접근하는지 참고했다. 옵션으로 선택할 수 있으며, 기존 방어 수단인 필수 2FA와 신뢰할 수 있는 퍼블리싱을 대체하지 않고 보완한다. 기본값은 쿨다운이 비활성화돼 있어, 이를 사용하지 않는 프로젝트는 여전히 최신 버전을 자동으로 해결한다. --cooldown 0을 지정하면 해당 실행에 대해 쿨다운을 완전히 끈다.

쿨다운은 rubygems.org에서 진행 중인 광범위한 보안 투자 중 하나에 불과하다. 레지스트리는 이제 푸시 시 gem 내용을 검증하고, 로그인 정보를 Have I Been Pwned와 대조해 유출된 비밀번호가 재사용되지 않도록 한다. 이는 외부에서 내부로 rubygems.org 보호하기에서 다룬 작업이다. 전용 팀이 Alpha Omega와 Anthropic의 지원을 받아 가장 중요한 gem에 대한 AI 기반 취약점 스캔을 진행하고 있으며, 모든 진행 상황은 공개 로드맵에서 추적한다. 신뢰할 수 있는 퍼블리싱과 필수 2FA는 이미 처음부터 릴리스를 푸시할 수 있는 사람의 기준을 높이고 있다.