废话不多说,先看两个新闻
吃瓜群众带你了解 NMP 包 event-stream 被植入比特币后门的来龙去脉
“微信勒索病毒”全纪实:打扰了,我只是病毒界的杨超越
第二篇挺长的,先帮总结一下,各位看官有时间可以再慢慢看,挺有意思,可以当看小说打法时间
第一篇
是不是感觉都很离奇,正常的开发代码都没问题,单一旦开发环境或者依赖的环境出了问题,我们依然难逃劫难
这其实并不新鲜
在15年的时候,就出现过苹果的开发软件XCode如果不从官方渠道下载,很容易下载到被植入了恶意代码的开发包,用这个开发出来的app都会带有窃取苹果账 以及可以被远程控制的的功能,当时也是影响了一大批有名的app
再往前回顾,其实很早就有人提醒过这样的事儿
同理,我们在maven上依赖的那些第三方扩展,哪些是能保证真正安全的呢astjson里面有没有问题pring里面有没有可能被注入了dbc会不会泄漏我们配置的数据库配置呢些现在都很难找到答案
程序界一直都在强调“我们不要重复造轮子”,但已经造好的轮子怎么才能让我们放心的用/strong>
这些问题是需要全球开发者共同努力来回答的,我们也许能有一些标准,有一些手段。也许到最后,我们还是要依靠人性的善良
最后又想起来个事儿,其实前几年出过一次有人 一个js的库里面植入恶意代码,结果被NPM的小组审出来了,封杀掉了,这次为啥就没发现呢,这次的知名度更高使用更广泛,是因为没钱没人了吗到这儿再结合近期的redis闭源,neo4j商业版闭源,为大众服务做贡献的组织怎么能正确的在价值链上找到自己的位置真的是个难题
最最后夸夸老罗,回馈开源 区这事儿咋就没人抄你呢/p>
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!