[その2] Square: TUFでRubyGemsの安全性を高める - ワザノバ | wazanova
http://corner.squareup.com/2013/12/securing-rubygems-with-tuf-part-3.html1 comment | 0 points その1はこちら。 6) Timeliness RubyGemsのサーバのアクセス権を得た悪意の侵入者は、クライアントからのアップデートができないようにするのは簡単にできるが、クライアント側もエラーを受け取るのですぐにわかる。 もっと気づきづらい攻撃は、セキュリティの脆弱性のあるgemを参照しているtargetsのファイル(targets.txtやverified.txtなど)のバージョンを配ること。tragetsファイルはオフラインキーでサインされてるため、任意のコンテンツに変えることはできないが、古いものを再利用することはできる。クライアント側では受取る情報が古いかどうかは知る由もない。 TUFはこの攻
[その1] Square: TUFでRubyGemsの安全性を高める - ワザノバ | wazanova
http://corner.squareup.com/2013/12/securing-rubygems-with-tuf-part-1.html1 comment | 0 points Squareの開発チームが、年初のようにRubyGemsの脆弱性が万一また見つかり問題になることを未然に防ぐために、The Update Framework (TUF)をRubyGemsに導入した取組みを紹介しています。 RubyGemsはファイルサーバであるので、まず最新のバージョンを確認するためにindex(/latest_specs.4.8.gz)を取得して、それから、実際にgem(/gems/somegem-0.0.1.gem)をダウンロードするURLを用意する。もし悪意のあるユーザがサーバにアクセスできるようになると、ファイルを修正して悪意のあるコードを仕込むことができる。それに対して、TUFは
gemspecにおける依存gem記述上の注意 - たごもりすメモ
要約 gemspecにおいて add_development_dependency と add_runtime_dependency (or add_dependency) の両方に同じgemがセットされたものをリリースすると、そのgemを bundler 経由でインストールしたとき正常に依存gemがインストールされなくなる。 これはおそらく rubygems.org の問題である。なぜなら該当 gemspec を用いて rake build したgemを手元で直接インストールしたときは依存ライブラリは正常にインストールされる。このgemをリリース後に rubygems.org のAPI経由で確認すると依存gemリストが正常に返ってこないことが確認できている。 なお該当の条件を満たす gemspec を含むgemがすべて影響を受けるわけではなく、おそらく最近数ヶ月のうちにリリースされたもの
Command Reference - RubyGems Guides
What each gem command does, and how to use it. This reference was automatically generated from RubyGems version 3.5.22. gem build gem cert gem check gem cleanup gem contents gem dependency gem environment gem exec gem fetch gem generate_index gem help gem info gem install gem list gem lock gem mirror gem open gem outdated gem owner gem pristine gem push gem query gem rdoc gem rebuild gem search ge
Route 477(2011-10-25)
■ [ruby] gistを使って小さなgemを公開する方法 http://jeffkreeftmeijer.com/2011/microgems-five-minute-rubygems/ 「bundlerがあれば、rubygems.orgにアップロードしなくても公開gitリポジトリさえあればgemとしてインストールできる」 「gistにはgitコマンドでファイルをチェックアウトする機能がある」 1.2.より、gistを使えばrubygems.orgにアップロードしなくてもgemを公開できる という話。 サンプルはこちら:https://gist.github.com/1232884 Gemfileに以下のように書けば、bundle installでこのgemがインストールされる。 gem 'bang', :git => 'git://gist.github.com/1232884.gi
古いgemをインストールしようとすると警告を出すgemを作った - おおにしあきらの日記
昨日メンテナンスされていないgemをインストールしてはまって大変だったので、インストールする際に古いgemだと警告を出すgemを作った。 GitHub - ohnishiakira/check-date: Check gem's date and warn if date is more than 1 years ago. 1年以上メンテナンスされていなかったら警告を出すようにしている。1年という期間に特に理由があるわけではないんだけど、それだけ古かったら危ないだろうなあという直感。 rubygems.orgにも上げたので、以下のコマンドでインストール出来る。 $ gem install check-date 仕組み RubyGemsにはインストール前/後、アンインストール前/後にフックを仕掛ける機能があり、今回のgemではそれを利用している。RubyGemsはrubygems_plugi
#245 New Gem with Bundler - RailsCasts
# -*- encoding: utf-8 -*- $:.push File.expand_path("../lib", __FILE__) require "lorem/version" Gem::Specification.new do |s| s.name = "lorem" s.version = Lorem::VERSION s.platform = Gem::Platform::RUBY s.authors = ["Ryan Bates"] s.email = ["ryan@railscasts.com"] s.homepage = "" s.summary = %q{Lorem ipsum generator} s.description = %q{Simply generates lorem ipsum text.} s.add_development_dependency
Technical Information #2 - tomohiro.github.com
Jeweler を使用した RubyGems の作成とリリース First Jeweler は RubyGems を簡単に作成するためのライブラリである. ここでは開発リポジトリに GitHub を使用し,Jeweler を用いて RubyGems.org に自作の Gem パッケージをリリースする手順に ついて書く. Install the Gem $ sudo gem install jeweler Bootstrap a new RubyGem project プロジェクトを作る $ jeweler ProjectName --rspec --cucumber --create-repo --rspec, --cucumber でそれぞれの雛形を作成してくれる --create-repo で GitHub にリポジトリが登録される その他のオプションは jeweler -h で参照で
コンパイル済みのgemパッケージを作るRubyGemsプラグイン - Blog by Sadayuki Furuhashi
拡張ライブラリを含んだgemパッケージから、コンパイル済みのバイナリを含んだgemパッケージを作るツールを作りました。 gem-compile@github Windows向けにコンパイル済みの拡張ライブラリを配布したいときに便利です。 コンパイラが入っていない環境に拡張ライブラリを含んだgemをインストールしたいときにも便利です。 実装はRubyGemsのプラグインになっており、インストールするとgemコマンドにcompileコマンドが追加されます: $ gem install gem-compile $ gem compile example-0.0.1.gem Windows向けバイナリgemの作成 MinGW環境でコンパイルすると、x86-mingw32環境向けのgemパッケージが作成されます。 例えば、MinGW環境でmsgpack-0.3.6.gemをコンパイルすると… $ g
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
How do you create pre-release gems?
Cloud Package Repository
164465’s gists
みんなでrubygemsを--no-ri --no-rdocにしよう - Hello, world! - s21g