投毒之迷

小时候看故事会，记得有这么个故事，但具体的内容不记得了。

联想到最近的几起安全事件，所以想到了这个标题。

这两天，开源软件 xz-utils 被注入后门的事件刷屏了：

https://zhuanlan.zhihu.com/p/689953259

联想起明尼苏达大学向 Linux 内核源代码提交 Bug这事

https://zhuanlan.zhihu.com/p/367769191

这分明就是向开源软件投毒。

开源软件发展到今天，已经成为了全球公认的先进软件创新合作模式，包括中国在内的许多国家也将开源软件列入国家层面的发展战略规划。然而就在不远的十多年前，开源软件并没有现在这样宽松的舆论环境，尤其是在以美国为代表的西方世界，以微软为首的商业软件巨头们对开源软件进行了长时间的无情打压。

开源软件打破了一些游戏规则，受到打压也是正常的。对开源软件的打压一般是FUD 舆论打压。

FUD 是恐惧（Fear）、不确定（Uncertainty）、怀疑（Doubt）的缩写，是行业垄断巨头对付比自己弱小的竞争对手时使用的打压手段之一，由前 IBM 工程师 Gene Amdahl 提出。

这些投毒事件很可能会引发新的 FUD 。

不过，还有一个更重要的问题值得我们深思：这次 xz-utils 由于后门出了 Bug 被勤奋的测试人员发现，那么，会不会有没出 Bug 的后门已被成功植入开源软件？有多少？

上面两起事件至少可以说明，在“眼皮子底下”作案是有可能的。

开源软件已得到了广泛的认可，很多公司也设置了开源软件办公室（OSPS）以便更好的使用开源软件。但 OSPS 主要关注开源软件的合规使用，但在开源软件安全方面似乎着力不多。比如，以下列举了 OSPO 的主要职能：

* 建立开源合规和治理政策来降低组织的知识产权风险

* 培育开发者做出更佳决策的能力

* 制定政策规范与公司全面采用开源的工作。

* 监控组织内外开源软件的使用情况

* 在每次软件版本发布后组织会议，讨论开源软件合规流程的优点及改进空间

* 加快软件开发生命周期（SDLC）

* 提高不同部门之间的透明度和协调性

* 通过简化流程在早期阶段降低风险

* 鼓励团队成员向上游贡献，以享受开源项目的协作和创新优势

* 提供包含合适补救措施和产品团队建议的报告

* 准备合规文档，确保满足许可证的义务

来自： https://zhuanlan.zhihu.com/p/664604662

看来，OSPO 可以加个安全风险评估的职能了。

如果开源软件都可以被投毒，商业软件也不能幸免。尤其是，很多开源软件都使用 BSD、MIT 甚至是 Public Domain 之类的协议，很容易被商业软件采用而不再开源。当然，这还不算商业软件有可能由于自身利益需要而故意植入后门的情况。

所以，无论怎么说，明尼苏达大学的研究还是有一定意义的。虽然他们的做法被认为是浪费了社区的精力，但是还是要有人研究这些东西，以便保护更多的开源软件不被植入后门。

后门这事情，本是道高一尺、摩高一丈的事情。但相信，群众的眼睛是雪亮的。只要大家都重视这件事情，使用开源软件还是最好的解决方案。毕竟，至少你还有代码可以看，可以分析。

当然，大家都很懒。Node.js 项目动辙成千上万个依赖，一个一个审核肯定也是不大可能的。现在很多一链安装脚本都可以直接远程下载个 Shell 脚本即时运行安装，如果网站被黑风险也很高。在 AI 时代，很多程序员都用大模型生成代码。如果有处心积虑者能污染大模型的训练数据，大模型也有可能会生成有害的代码。真不让人省心。

软件被植入后门这事对普通开发者来说可谓是防不胜防。历史上也有很多开发工具、编译工具、远程访问软件被植入后门的事情。或许，尽量使用旧版本的软件是一个比较好的选择，并期待新版本的软件如果有后门的话会被尽快发现。

当然，大家也不用那么悲观，毕竟，之前我们已被各种电脑病毒骚扰过了。与软件后门造成的损失相比，或许房价的下跌、投资不慎带的的损失更直接、更大一些。😂