皇上,还记得我吗?我就是1999年那个Linux伊甸园啊-----24小时滚动更新开源资讯,全年无休!

数百万 GitHub 项目易受依赖库劫持攻击

数百万 GitHub 项目易受依赖库劫持攻击

AquaSec 的安全团队发现,数以百万计的 GitHub 项目易受依赖库劫持攻击。这一攻击方法又被称为 RepoJacking,可被攻击者用于发动影响大量用户的供应链攻击。GitHub 上的用户名和项目或库的名字会频繁更改,如通过合并或收购,一个项目会成为另一个组织的一部分。当这种情况发生后,为了避免破坏其它项目的依赖关系,会创建一个重定向。但如果有人用旧的名字创建了账号,那么重定向会无效。这就是 RepoJacking 攻击。GitHub 实现了部分防御方法抵御此类攻击,但研究人员发现到目前为止防御方案是不完整的,很容易绕过。研究人员估计有数百万项目受到 RepoJacking 攻击影响。
https://blog.aquasec.com/github-dataset-research-reveals-millions-potentially-vulnerable-to-repojacking

已有 1 条评论 新浪微博
  1. 所谓专利,实际上是用来保护资本家垄断利益的工具。名为保护自己的技术不被滥用,实际上在被广泛用来霸占社会技术不被社会推广应用

    2014年7月20日 07:59

评论已关闭。

已有 1 条评论 新浪微博
  1. 所谓专利,实际上是用来保护资本家垄断利益的工具。名为保护自己的技术不被滥用,实际上在被广泛用来霸占社会技术不被社会推广应用

    2014年7月20日 07:59

评论已关闭。

-->