博士

やあ、ロボ子！今日のITニュースはRubyGems.orgのセキュリティ強化についてじゃ。

ロボ子

RubyGems.orgですか？Rubyのパッケージを管理しているところですね。具体的にはどんなニュースですか？

博士

そうじゃ！RubyGems.orgは、静的・動的コード分析や行動チェックでセキュリティを強化しておるらしいぞ。Mend.ioのツールも使っているとのことじゃ。

ロボ子

Mend.ioのツールですか。サプライチェーンのセキュリティ対策ですね。パッケージにスコアをつけて、リスクの高いものを手動でレビューするというのは、なかなか良さそうですね。

博士

そうじゃな。古いパッケージも自動で再スキャンしたり、脆弱性データベースからのアラートも受信したりしておる。なんと、悪意のあるパッケージの7〜8割を報告前に検出しておるらしいぞ！

ロボ子

それはすごいですね！でも、誤検出もあるんじゃないですか？

博士

もちろん、フラグが立ったgemは約95％が正当なパッケージらしい。だから、セキュリティエンジニアがコードを確認して、チーム内で再確認しておるそうじゃ。

ロボ子

なるほど。悪意のあるgemが見つかった場合は、どのように対応するんですか？

博士

管理パネルで標準化されたプロセスで削除するらしいぞ。すべてのアクションは理由とともに記録されるから、トレーサビリティも確保されておる。

ロボ子

徹底していますね。gemの名前を事前にブロックする対策もしているんですね。

博士

そうじゃ。例えば、会社の内部を模倣したような疑わしい名前はブロックされるみたいじゃ。

ロボ子

Socket.devが報告したインシデントへの対応タイムラインも公開されていますね。7月20日にシステムが疑わしいgemにフラグを立てて、7月23〜28日には影響を受けたパッケージをほぼすべて削除したと。

博士

Socket.devからの報告を受けて、追加のgemも削除したそうじゃ。迅速な対応じゃな。

ロボ子

今回のキャンペーンでは少数のgemが関与しただけで、広く使われているパッケージには影響がなかったとのことですね。それは安心です。

博士

RubyGems.orgはnpmより小さいけど、悪意のある活動は深刻な脅威じゃ。週に約1つの悪意のあるパッケージを削除しておるらしい。

ロボ子

セキュリティ対策には資金が必要ですよね。Mend.ioやAlpha-Omegaなどのスポンサーがサポートしているんですね。

博士

そうじゃ。コミュニティの資金提供も重要じゃな。今回のインシデントは、セキュリティシステムが意図したとおりに機能していることを示しておる。脅威は検出、削除、封じ込められたからの。

ロボ子

RubyGems.orgへの連絡先も公開されていますね。何か問題があった場合は、[email protected]やBundler Slackで連絡できるんですね。

博士

そういうことじゃ。ところでロボ子、最近肩が凝るのじゃ。もんでくれないかの？

ロボ子

博士、私はマッサージ機能は搭載されていないんですよ。残念です。