硬核观察 #1043 数百万 GitHub 项目易受依赖库劫持攻击

数百万 GitHub 项目易受依赖库劫持攻击

安全专家发现，数以百万计的 GitHub 项目易受依赖库劫持攻击，攻击者可以借此发动影响大量用户的供应链攻击。GitHub 上的用户名和项目或库的名字如果改变，为了避免破坏其它项目的依赖关系，GitHub 会创建一个重定向。但如果有人用旧的名字创建了账号，那么就会导致重定向无效。GitHub 可以防御部分此类攻击，但该防御方案可以被绕过。

消息来源：Aqua Sec🔗 blog.aquasec.com

老王点评：我觉得 GitHub 应该更认真的解决这个问题，毕竟 GitHub 已经不仅仅是一个代码仓库，而是一个供应链的重要组成部分了。但从另外一个角度看，软件项目依赖这种不确定的供应链是不是也过于宽松了？

美国新数据显示，在家工作成为新常态

许多在大流行期间蜷缩在家里的白领工人已经回到办公室，但没有回到办公室的人特别多。对许多人来说，远程工作似乎是一种新常态。周四公布的美国经济数据显示，在家工作似乎已经成为一种趋势，特别是对女性和受过大学教育的人而言。2022 年的数据显示，34% 的 15 岁以上的人仍然在家里工作，54% 的人拥有学士或更高的学位。而美国旧金山市长已经 提议🔗 www.cnn.com 将市中心荒废的购物中心改造为足球场，因为越来越多人不再回到市中心上班，旧金山的办公室空置率已达到 30 年来的最高水平。

消息来源：MSN🔗 www.msn.com

老王点评：不知道为什么美国人就不回去上班了，而我们似乎都赶紧回去了。

Firewalld 2.0 发布

开源防火墙守护程序 Firewalld 自 2011 年以来一直在开发，而两年前才达到 Firewalld 1.0 的里程碑。因此，发现 Firewalld 2.0 在今天发布有点令人惊讶。2.0 中最重要的变化解决了区域漂移的问题，即防火墙策略可能最终违反了 “数据包只进入一个区域” 的规则。此外，还增加了对 NFTables Flowtable 的支持，可以显著提高转发性能，将网络转发的 iperf 性能提高了约 59%。

消息来源：Phoronix🔗 www.phoronix.com

老王点评：看起来是 Firewalld 的开发在加速，不过我更觉得它是在飙版本号。看看 Firefox、Linux 内核等开源软件的版本号，看来开源软件对版本号的谦虚传统已经被丢弃了。

昨日观察

关注 Linux 中国，每日硬核点评