详细内容或原文请订阅后点击阅览
敲响开源黑客警报的新方法
最近有人试图破坏免费使用的软件组件,一个领先的开发者团体正在努力传播漏洞利用信息。
来源:美国防务一号网开源安全基金会于周一公布了一个邮件列表,以帮助贡献者和最终用户相互提醒黑客正在利用的开源项目漏洞。
开源安全基金会OpenSSF 的 Siren 旨在通过标记破坏免费和开放访问软件代码的恶意企图,作为向电子邮件列表成员发送的实时警报系统。 它的动机是今年早些时候对开源工具的攻击,包括企图劫持广泛使用的 Linux 文件传输协议。
Siren 企图劫持该列表旨在向工具的最终用户提供有关开源构建(支撑约 90% 的现代应用程序)的安全警报。 开源安全邮件列表传统上用于在开发人员之间交换通信,基金会希望改进“与更广泛的下游受众有效地传达有关漏洞的信息”。
约 90%开源项目依靠社区成员的贡献来保持补丁更新。这些更新在论坛上与志愿软件维护者讨论,他们彼此讨论拟议的更改。
但传统的社区实践依赖于所有贡献者都是好心人的假设。2 月底,当名为“Jia Tan”的用户试图悄悄地在 XZ Utils 中植入后门时,这一想法受到了挑战。XZ Utils 是一种文件传输工具,用于多个 Linux 版本,为 Snapchat、Robinhood 和 Instacart 等公司的软件提供支持。
分析师在 4 月告诉 Nextgov/FCW,Jia Tan 可能是一群民族国家黑客,他们计划进行一场长期游戏,秘密劫持该工具,其中一人表示,成功的尝试将为他们提供互联网的“万能钥匙”。
Nextgov/FCW 长期游戏 伪装成代码贡献者 Nextgov/FCW 发现漏洞 注册链接