供应链
该标签下有 5 篇文章
MOVEit 大规模数据泄露(2023)—— SQL 注入零日漏洞波及 2,700 多家组织的原因与防御
入口是面向互联网公开的文件传输产品 MOVEit Transfer 的 SQL 注入零日漏洞(CVE-2023-34362)。攻击者植入 Web shell(LEMURLOOT),从后端数据库批量窃取数据,致 2,700 多家组织、约 9,330 万人的数据外泄。许多受害者是因为外包方、合作方使用了 MOVEit 而被间接牵连。在你的环境中,可通过 KEV 即时打补丁、最小化暴露面、Web↔DB 的最小权限与隔离、外包方盘点与数据最小化来防范。
osv-scanner 的安装与使用:用机器找出依赖包里的 CVE
osv-scanner 是一款免费工具,扫描锁文件或容器以排查依赖中的 CVE。本文把安装、运行、CI 集成做成步骤,并理清它与 npm/pnpm audit、Dependabot 的取舍。本站的观点=选工具的正确答案由『你的架构』决定。多语言混用或不依赖 GitHub 就用 osv-scanner,单一 npm 用自带的 pnpm audit 就够了。
自建 Git 服务器和 GitHub,从安全角度看哪个更安全
自建 Git 不是『变安全』,而是『转移风险』。误公开这一类事故确实会消失,但服务器补丁、备份、提交前密钥检测的责任会转移到你身上。满足条件就是好选择,放任不管则比 GitHub 更危险。本站视角=自建运营必须连同代价一起,否则无法成立。
Codecov 篡改事件(2021)——CI 中『被信任的工具』被劫持导致机密信息外泄的原因与防御
根源在于『在 CI 中信任并执行的工具(curl|bash 的 Bash Uploader)在上游被篡改』。由于自己的代码毫发无损,约两个月都没能察觉,CI 的机密信息因此外泄。检测靠的是校验和比对。在你的 CI 中,可用取得物的完整性校验、机密的最小权限、轮换、egress 监控来防止重演。
XZ Utils 后门(CVE-2024-3094)——『信任本身』被瞄准的供应链事件
压缩库 xz 中被一名赢得信任的维护者植入了后门的供应链攻击。在即将进入稳定版的前一刻,一名技术人员凭『慢』这一违和感把它拦下。被瞄准的不是代码,而是『人与信任』。教训是:把依赖最小化、固定版本、提高可复现性、追踪违和感、支援维护者。