[Перевод] Можно ли было обнаружить бэкдор XZ при более продуманной работе с пакетами в Git и Debian?

Обнаружение бэкдора в XZ Utils весной 2024 года поразило опенсорс-сообщество и подняло серьёзные вопросы о безопасности цепочки поставок ПО. В этом посте мы изучим, могло ли улучшение практик работы с пакетами Debian помочь в выявлении этой угрозы, приведём руководство по аудиту пакетов и предложим улучшения на будущее.

Бэкдор XZ в версиях 5.6.0/5.6.1 быстро попал во многие крупные дистрибутивы Linux наподобие Debian и Fedora, но, к счастью, не добрался до многих реальных пользователей, потому что благодаря героическому усердию Андреса Фройнда релизы с бэкдором были быстро удалены. Нам крайне повезло, что мы выявили регрессию производительности SSH в полсекунды, уделили время её трассировке, обнаружили зловредный код в загружаемой SSH библиотеке XZ и быстро сообщили о нём различным командам безопасников для принятия быстрых координированных мер защиты.

Этот эпизод заставил разработчиков ПО задаться следующими вопросами:

• Почему ни один из упаковщиков дистрибутивов Linux не заметил ничего странного при импорте новой версии XZ 5.6.0/5.6.1 из апстрима?

• Легко ли проводить аудит современной цепочки поставок в самых популярных дистрибутивах Linux?

• Возможно ли наличие других подобных бэкдоров, которые мы пока не выявили?

Я разработчик Debian Developer, поэтому решил провести аудит пакета xz в Debian, поделиться в этом посте своей методологией и находками, а также предложить способы повышения безопасности цепочки поставок конкретно в Debian.

Стоит отметить, что мы ограничимся только изучением способа импорта ПО дистрибутивом Debian из его апстрима, а также его распространения среди пользователей Debian. При этом мы никак не затронем тему оценки соответствия проекта апстрима best practices по безопасности разработки ПО. В этом посте мы не будем и говорить о том, какие меры следует предпринять на компьютере с Debian, чтобы гарантировать его защиту, потому что таких руководств и так уже много.

Читать далее

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• bitkogan: «Вам пришли деньги» — как не попасть на блокировку счета
• Редакция Spark.ru: Какому бизнесу нужны самозанятые: в отдельных сегментах с ними работают до 11,2% компаний
• УК «Альфа-Капитал»: Выход ОАЭ из ОПЕК+
• AlinaTen: Крупные технологические компании расширяют сотрудничество с оборонным сектором США
• Партнеры Spark: Как купить USDT за рубли в России в 2026 году: пошаговый гайд с Cifra Markets
• Spark_news: СТОКМАНН, restore:, «Горздрав», Билайн а также другие бренды и онлайн-ритейлеры будут продавать товары через Алису AI
• Простой способ сделать мессенджер Макс безопаснее без Docker и прокси
• РКН объявил войну зарубежным разработчикам игр
• Краткая история биометрии: как появилось распознавание по голосу
• Как мы пытались «ломануть» сайт «Миротворец»*, а нашли целую армию охотников за данными. Полный технический разбор