各位大佬,
针对这次潜伏两年半,修改xz源码,植入sshd后门的事件,大家怎么看?可以从管理、程序员、发现这几个环节发表看法。
2 个赞
1 个赞
看了一眼,我的是5.25,幸好幸好
2 个赞
从坏人视角:不再相信,苦心人天不负,这句话
2 个赞
苦心人天不负,三年xz可吞ubuntu
2 个赞
视角独特啊
1 个赞
能跑就别升
图都做出来了,网友还是有才
没受影响,不过很搞笑哈哈哈哈哈。话说企业看到这个会不会以后code review的责任会更大一些
同样的事情发生过很多次了,从openssl无心的漏洞,到fakerjs因为没有回报删库,再到xz这种投毒。
解法从来都不会是“我们用了开源软件,我们还是捐款支持下”,不管是代码审计,还是支持维护者的生活。
解法就只有一个,维护者以后发布软件,需要ABC等安全限制,或者提出一个新软件来替换。简而言之,“税收只能征收到好人头上,坏人不会受到惩罚”