Could the XZ backdoor been detected with better Git/Deb packaging practices?

Недавняя обнаружение бэкдора в XZ Utils в 2024 году поставило под вопрос безопасность цепочек поставок ПО. Статья исследует, могли ли лучшие практики упаковки в Debian предотвратить эту угрозу, предлагая руководство по аудиту пакетов и рекомендации по улучшению. Бэкдор в версиях 5.6.0/5.6.1 кратко попал в основные дистрибутивы Linux, включая Debian и Fedora, но благодаря бдительности Андреса Фрейнда был быстро обнаружен и удален. Он заметил регрессию производительности SSH в полсекунды, что привело к обнаружению вредоносного кода.

Автор, разработчик Debian, задает ключевые вопросы: почему упаковщики дистрибутивов не заметили ничего подозрительного при импорте новой версии XZ, насколько легко аудировать текущую цепочку поставок ПО, и нет ли еще скрытых бэкдоров. Статья фокусируется на аудите импорта ПО в Debian и его распространении среди пользователей, подчеркивая необходимость проверки исходных кодов пакетов, а не только бинарных файлов. Автор представляет пошаговое руководство по загрузке и анализу исходных пакетов Debian и upstream, предлагая методы для выявления потенциальных угроз.

Комментарии (73)

Сообщество обсуждает, что виноват не только сам факт внедрения кода, но и то, что сборочные системы дистрибутивов не герметичны и не воспроизводимы, что позволило атаке ускользнуть.
Участники подчеркивают, что важно не только открытый исходный код, но и возможность (и практика) независимо собрать любой пакет из исходников; это единственный путь к доверию.
Некоторые замечают, что даже в открытом исходном коде могут скрываться уязвимости, если нет культуры безопасной разработки и аудита кода.
Участники подчеркивают, что важно не только открытый исходный код, но и возможность (и практика) независимо собрать любой пакет из исходников.