硬核观察 #1043 数百万 GitHub 项目易受依赖库劫持攻击

2023-06-25
2分钟阅读时长

数百万 GitHub 项目易受依赖库劫持攻击

安全专家发现,数以百万计的 GitHub 项目易受依赖库劫持攻击,攻击者可以借此发动影响大量用户的供应链攻击。GitHub 上的用户名和项目或库的名字如果改变,为了避免破坏其它项目的依赖关系,GitHub 会创建一个重定向。但如果有人用旧的名字创建了账号,那么就会导致重定向无效。GitHub 可以防御部分此类攻击,但该防御方案可以被绕过。

消息来源:Aqua Sec

老王点评:我觉得 GitHub 应该更认真的解决这个问题,毕竟 GitHub 已经不仅仅是一个代码仓库,而是一个供应链的重要组成部分了。但从另外一个角度看,软件项目依赖这种不确定的供应链是不是也过于宽松了?

美国新数据显示,在家工作成为新常态

许多在大流行期间蜷缩在家里的白领工人已经回到办公室,但没有回到办公室的人特别多。对许多人来说,远程工作似乎是一种新常态。周四公布的美国经济数据显示,在家工作似乎已经成为一种趋势,特别是对女性和受过大学教育的人而言。2022 年的数据显示,34% 的 15 岁以上的人仍然在家里工作,54% 的人拥有学士或更高的学位。而美国旧金山市长已经 提议 将市中心荒废的购物中心改造为足球场,因为越来越多人不再回到市中心上班,旧金山的办公室空置率已达到 30 年来的最高水平。

消息来源:MSN

老王点评:不知道为什么美国人就不回去上班了,而我们似乎都赶紧回去了。

Firewalld 2.0 发布

开源防火墙守护程序 Firewalld 自 2011 年以来一直在开发,而两年前才达到 Firewalld 1.0 的里程碑。因此,发现 Firewalld 2.0 在今天发布有点令人惊讶。2.0 中最重要的变化解决了区域漂移的问题,即防火墙策略可能最终违反了 “数据包只进入一个区域” 的规则。此外,还增加了对 NFTables Flowtable 的支持,可以显著提高转发性能,将网络转发的 iperf 性能提高了约 59%。

消息来源:Phoronix

老王点评:看起来是 Firewalld 的开发在加速,不过我更觉得它是在飙版本号。看看 Firefox、Linux 内核等开源软件的版本号,看来开源软件对版本号的谦虚传统已经被丢弃了。