Could the XZ backdoor been detected with better Git/Deb packaging practices?
7 months ago
- #Debian
- #OpenSource
- #Security
- 2024年XZ Utils后门事件的发现引发了对软件供应链安全的担忧。
- 该后门因SSH性能下降而被发现,促使各大Linux发行版迅速移除问题版本。
- 关键问题聚焦于:为何打包者未察觉XZ 5.6.0/5.6.1版本的异常,以及Linux发行版软件供应链的可审计性。
- 本文提供了一套审计Debian软件包的方法论,强调源代码验证而非二进制文件检查。
- 推荐使用debsnap、diffoscope和git-buildpackage等工具进行软件包版本下载与比对。
- 详细说明了如何通过OpenPGP签名和校验和验证上游源码与Debian源码的一致性。
- 文章指出审计重新打包的上游源码存在挑战,并强调git历史记录对审查变更的重要性。
- XZ后门通过测试文件和Autotools脚本隐藏,其复杂性使其近乎无法被检测。
- Debian现行策略可能不足以识别同类后门,建议改进工具链并建立共享工作流程。
- 文章结论指出:尽管存在挑战,开源软件因其可审计性仍比闭源软件更值得信赖。