Linuxeden开源社区
之前我们报道过,有研究人员发现利用开源生态系统的“依赖性混淆”设计缺陷,成功地入侵了包括谷歌在内的 35 家知名科技公司,获得了超过 13 万美元的漏洞报告奖励。
当时我们曾经预测,这种攻击很可能会迅速针对使用开源软件构建内部软件的公司展开。果不其然,最近 npm 和 PyPi 开源代码仓库涌入了超过五千个此类概念验证攻击包,数十家科技公司都成为了类似攻击的目标。研究人员担心,这种攻击会愈演愈烈,毕竟这种攻击的成本非常低。
我觉得这种漏洞披露得有点冒失了,毕竟这个设计缺陷应该需要各种语言本身提供一个适当的防御机制比较好。希望各个语言社区和企业们能及时关注和做临时性规避吧。
节选自 https://linux.cn/article-13185-1.html