大家好,我是校長。
昨天,在前端技術圈,又有一個事情被刷爆了,那就是:前端的開源工具包遭遇了供應鍊投毒事件。
别再說開源是沒有國界的了,畢竟做開源的人是有國界的,隻要有人的地方,就是有國界的。技術離不開人,人也離不開技術,是以,技術,開源這些東西都逃脫不了國界的限制,更逃脫不了意識形态這種東西。
具體情況,就不詳細介紹了,大概就是圖中描述的内容:
vue-cli 的一個深層依賴包 node-ipc 的作者以反戰為名進行了供應鍊投毒,node-ipc 會在所有使用者的桌面上都會建立一個檔案來宣傳作者的立場。node-ipc 在包裡摻雜了一段經過混淆的代碼,對俄羅斯或白俄羅斯的 IP 會進行攻擊,試圖覆寫使用者檔案。可能作者良心發現了吧,該代碼現已被删除。
我記得我去年專門寫文章講過軟體供應鍊安全和軟體供應鍊攻擊的問題。
何為軟體供應鍊?軟體供應鍊簡單來講就是你開發的産品其實隻是供應鍊當中的一個環節,因為你的産品可能涉及到了硬體,公共庫,第三方依賴庫,還有其他軟體工具,這些東西一起組成了供應鍊。
既然是一個供應鍊,其實在每一個環節都容易出現問題,就容易遭到攻擊,這就叫:"軟體供應鍊攻擊" 。
"軟體供應鍊攻擊" 指的是攻擊軟體所依賴的代碼庫或服務。
最常見的供應鍊攻擊有兩種形式,一是:起一個跟依賴庫或域名很容易混淆的名字;二是:向依賴庫注入惡意代碼。
這次通過 node-ipc 向 npm 當中注入惡意代碼,就屬于軟體供應鍊攻擊的行為,典型的就是投毒,使用 npm 和依賴 node-ipc 的項目都受到了影響。
不僅僅前端有這種問題,去年,本質上來說,也有類似現象,比如:
log4j2 開源項目出現重大漏洞,遭遇攻擊的事件,導緻很多使用 log4j2 包的 Java 項目都受到了影響。
真的是人生無常,大腸包小腸,在這個世界上隻有自己的東西才是可靠的,依靠别人的都不靠譜,當沖突或者沖突發生的那一刻,你就容易受制于人。
其實,仔細想想看,開源生态其實也挺脆弱的,沒有任何安全管理機制,隻能靠作者的自覺。
這次事件,再次給大家進行了提示和警醒:如何對開源生态進行管理的問題?如何防止類似事件的發生?以及擁有一個自己的開源生态體系是多麼的重要。
說實話,這次俄烏沖突真的是把各種奇葩制裁,各種牛鬼蛇神都暴露出來了,讓我們看到了一個人心不古的真實世界。
什麼開源,什麼無國界,那都是假的。