更新很重要：流行的 Ruby 庫曝後門，但影響有限

流行的 Ruby 庫 Bootstrap-Sass 曝出後門程式碼。

Bootstrap-Sass 是一個流行的 Ruby UI 框架，它為開發人員提供了一個 Sass 版本的 Bootstrap。據 ZDNet 的報導，上週三，開發者 Derek Barnes 在該庫 3.2.0.3 版本中 發現後門程式碼 ，這一小段具有惡意性質的程式碼如上圖所示，它嵌入 Ruby 或 Ruby on Rails 之後，會載入一個 cookie 檔案並執行其內容。   

據統計，雖然 Bootstrap-Sass 的安裝量達到 2800 萬，但是此後門版本僅有 1477 次安裝，因為該庫的最新版本是 3.4.1，而很少有開發者在使用舊版本分支，這一點提供了有效的安全保障。

報告公開的同一天該後門已經從 RubyGems 中刪除，Bootstrap-Sass 團隊還撤銷了對 RubyGems 的訪問許可權，因為開發人員認為他們的帳戶遭到入侵併被用來推送惡意程式碼。

此外，RubyGems 和 GitHub 上也釋出了 Bootstrap-Sass v3.2.0.4 版本，完全刪除了後門的相關內容。