‘硬核观察 #1043 数百万 GitHub 项目易受依赖库劫持攻击’

“? 数百万 GitHub 项目易受依赖库劫持攻击\r\n? 美国新数据显示,在家工作成为新常态\r\n? Firewalld 2.0 发布\r\n»

'硬核观察 #1043 数百万 GitHub 项目易受依赖库劫持攻击'

'硬核观察 #1043 数百万 GitHub 项目易受依赖库劫持攻击'

数百万 GitHub 项目易受依赖库劫持攻击

安全专家发现,数以百万计的 GitHub 项目易受依赖库劫持攻击,攻击者可以借此发动影响大量用户的供应链攻击。GitHub 上的用户名和项目或库的名字如果改变,为了避免破坏其它项目的依赖关系,GitHub 会创建一个重定向。但如果有人用旧的名字创建了账号,那么就会导致重定向无效。GitHub 可以防御部分此类攻击,但该防御方案可以被绕过。

消息来源:Aqua Sec

老王点评:我觉得 GitHub 应该更认真的解决这个问题,毕竟 GitHub 已经不仅仅是一个代码仓库,而是一个供应链的重要组成部分了。但从另外一个角度看,软件项目依赖这种不确定的供应链是不是也过于宽松了?

'硬核观察 #1043 数百万 GitHub 项目易受依赖库劫持攻击'

美国新数据显示,在家工作成为新常态

许多在大流行期间蜷缩在家里的白领工人已经回到办公室,但没有回到办公室的人特别多。对许多人来说,远程工作似乎是一种新常态。周四公布的美国经济数据显示,在家工作似乎已经成为一种趋势,特别是对女性和受过大学教育的人而言。2022 年的数据显示,34% 的 15 岁以上的人仍然在家里工作,54% 的人拥有学士或更高的学位。而美国旧金山市长已经 提议 将市中心荒废的购物中心改造为足球场,因为越来越多人不再回到市中心上班,旧金山的办公室空置率已达到 30 年来的最高水平。

消息来源:MSN

老王点评:不知道为什么美国人就不回去上班了,而我们似乎都赶紧回去了。

'硬核观察 #1043 数百万 GitHub 项目易受依赖库劫持攻击'

Firewalld 2.0 发布

开源防火墙守护程序 Firewalld 自 2011 年以来一直在开发,而两年前才达到 Firewalld 1.0 的里程碑。因此,发现 Firewalld 2.0 在今天发布有点令人惊讶。2.0 中最重要的变化解决了区域漂移的问题,即防火墙策略可能最终违反了 “数据包只进入一个区域” 的规则。此外,还增加了对 NFTables Flowtable 的支持,可以显著提高转发性能,将网络转发的 iperf 性能提高了约 59%。

消息来源:Phoronix

老王点评:看起来是 Firewalld 的开发在加速,不过我更觉得它是在飙版本号。看看 Firefox、Linux 内核等开源软件的版本号,看来开源软件对版本号的谦虚传统已经被丢弃了。

主题测试文章,只做测试使用。发布者:eason,转转请注明出处:https://aicodev.cn/2023/06/26/%e7%a1%ac%e6%a0%b8%e8%a7%82%e5%af%9f-1043-%e6%95%b0%e7%99%be%e4%b8%87-github-%e9%a1%b9%e7%9b%ae%e6%98%93%e5%8f%97%e4%be%9d%e8%b5%96%e5%ba%93%e5%8a%ab%e6%8c%81%e6%94%bb%e5%87%bb/

Like (0)
eason的头像eason
Previous 2023年6月26日
Next 2023年6月27日

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

联系我们

400-800-8888

在线咨询: QQ交谈

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信