开源软件供应链安全问题 50 年
本文翻译自:Fifty Years of Open Source Software Supply Chain Security 几十年来,软件复用是一个遥远的目标。现在,它变得非常真实。 1972年3月,美国空军开始审查霍尼韦尔Multics系统,以了解它是否可以在安全环境中使用。该报告于1974年中期发布,结论是Multics虽然不安全,但优于其同类系统,可能是一个构建安全系统的合理起点。报告提出了在“无害”的系统调用中添加后门(当时称为“陷阱门”)的潜在可能性。 当传递一个特定且极不可能的输入时,系统调用允许读取或写入内核内存的任意字。这个微小的变化将完全破坏系统的安全性,报告调查了这种变化可能如何被实施和隐藏的机制。 2024年3月,安德烈斯·弗雷德(Andres Freund),一位在微软工作的Postgres开发者,注意到他的Debian Linux系统的ssh守护进程在处理互联网上常见的背景攻击流量时,CPU占用率比平时高。经过进一步调查,弗雷德发现,Debian系统上ssh链接的压缩库liblzma的最新版本中存在一个针对ssh的特定后门。现在,当传递一个特定且非常不可能...
