开源意识流

观点与事件:科技、开源、商业化

供应链攻击指向Python社区


By Forsaken

开源社区作为现代软件工业最重要的核心设施,必然在整条软件供应链上占据显著位置。然而,从另一个角度来看,针对开源社区进行供应链攻击,收效也是最显著的。

一家专注于软件供应链安全的公司 Phylum 最近发布了一项报告,若干 PyPI 包被发现存在攻击痕迹,比如被注入了 W4SP stealer。

目前的编程语言在设计层面并没有建立有效机制去审查加载的模块是否安全,主要还是靠第三方代码审计团队以半人工甚至纯人工的方式进行审查。这也许是下一代编程语言值得考虑的点,毕竟这是一个开源盛行之后的新课题。实际上,这份报告中绝大部分问题,都出在不安全的 import 上,如果能从语言或者编译器角度解决 import 的安全问题,就几乎等同于是给编程语言打了疫苗。

软件供应链安全问题,自去年拜登的总统令(EO14028)之后逐步进入了一个高潮期,产业界已经逐渐引起重视。经过从业者的反复游说,不少企业高层已经注意到了这类问题。但是如何优雅地解决这类问题,仍然是一个悬而未决的课题。不过,至少多招人拼体力活还是能解决的。

然而拼体力和眼力肯定不是最好的办法,我们有理由相信,未来能从语言设计和工具链解决这类问题的团队中,很可能出现下一代基础设施的独角兽。