差点发生的 XZ Utils 后门

差点发生的 XZ Utils 后门

上周，互联网躲过了一次重大的国家攻击，该攻击可能会对全球网络安全造成灾难性影响。这是一场没有发生的灾难，因此不会引起太多关注——但它应该引起关注。这次攻击及其发现的故事有一个重要的寓意：全球互联网的安全依赖于无数晦涩难懂的软件，这些软件是由更加晦涩难懂的无偿、容易分心且有时易受攻击的志愿者编写和维护的。这是一个无法维持的局面，而且被恶意行为者利用。然而，几乎没有采取任何措施来补救。

攻击的故事 发现

程序员不喜欢做额外的工作。如果他们能找到可以完成他们想要的功能的已编写代码，他们会使用它而不是重新创建功能。这些代码存储库称为库，托管在 GitHub 等网站上。库可以用于一切：以 3D 显示对象、拼写检查、执行复杂的数学运算、管理电子商务购物车、在互联网上移动文件 — — 一切。库对于现代编程至关重要；它们是复杂软件的构建块。它们提供的模块化使软件项目易于处理。您使用的所有东西都包含数十个这样的库：一些是商业的，一些是开源的和免费提供的。它们对于完成的软件的功能至关重要。以及它的安全性。

您可能从未听说过名为 XZ Utils 的开源库，但它存在于数亿台计算机上。它可能在您的计算机上。它肯定存在于您使用的任何公司或组织网络中。它是一个可免费使用的库，可以进行数据压缩。它很重要，就像数百个其他类似的晦涩难懂的库一样重要。

长期心理健康问题。 个人目标 绝大多数 发现 杰作 进入 SolarWinds 的后门 软件供应链 讨厌 潮流正在转变 Linux