飞鱼博客 
上个月,德国软件开发者安德烈斯·弗伦德在进行一些详细的性能测试时,注意到一个鲜为人知的程序有奇怪的行为。他在调查中发现的结果震惊了整个软件界,并引起了科技高管和政府官员的注意。
Freund在旧金山的微软公司工作,他发现最新版本的开源软件XZ Utils被其中一名开发人员蓄意破坏,此举可能打开了通往互联网上数百万服务器的秘密之门。
安全专家表示,正是因为Freund在最新版本的XZ被广泛部署之前发现了这个变化,世界才幸免于一场数字安全危机。
“我们真的躲过了一劫,”一直在追踪这一发现的安全研究员萨特南·纳朗(Satnam Narang)说。“这是我们不得不擦着眉头说‘我们真的很幸运’的时刻之一。”
这次险些发生的事件让人们重新关注开源软件的安全性。开源软件是免费的,通常由志愿者维护,其透明度和灵活性意味着它们是互联网经济的基础。
许多这样的项目依赖于一小群无偿的志愿者,他们努力从一堆修复和升级的需求中解脱出来。
XZ是一套打包到Linux操作系统发行版中的文件压缩工具,长期以来一直由一个作者Lasse Collin维护。
近年来,他似乎承受着压力。
在2022年6月发布到一个公共邮件列表的消息中,科林说他正在处理“长期的心理健康问题”,并暗示他正在私下与一位名叫贾谭的新开发者合作,“也许他将来会扮演更重要的角色”。
通过开源软件网站Github提供的更新日志显示,Tan的角色迅速扩大。到2023年,日志显示Tan正在将他的代码合并到XZ中,这表明他在项目中赢得了一个值得信赖的角色。
但搜索过日志的网络安全专家表示,谭伪装成一名乐于助人的志愿者。他们说,在接下来的几个月里,谭给XZ引入了一个几乎看不见的后门。
科林没有回复记者的置评请求,他在自己的网站上说,在他完全了解情况之前,他不会回复记者。
谭没有回复发送到他Gmail账户的信息。路透社无法确定Tan是谁,他在哪里,或者他为谁工作,但许多看过他更新的人认为Tan是一个黑客专家或黑客组织的化名,很可能是一个为强大的情报机构工作的人。
“这不是幼儿园的东西,”致力于保护XZ等项目的开源安全基金会(Open Source Security Foundation)总经理奥姆哈尔·阿拉萨拉特南(Omkhar Arasaratnam)说。“这是非常复杂的。”
“我们很幸运”
如果不是微软的开发人员弗伦德(Freund),谭很容易就能成功。弗伦德注意到,他正在测试的系统上,最新版本的XZ断断续续地使用了出乎意料的处理能力,这激起了他的好奇心。
微软拒绝让Freund接受采访,但在公开的电子邮件和社交媒体上的帖子中,Freund说,一系列容易被忽视的线索促使他发现了后门。
弗洛因德在社交网站乳齿象上说,这一发现“确实需要很多巧合”。
微软首席执行官萨蒂亚·纳德拉周末向弗雷德表示祝贺,他在社交网络X上发帖说,他很高兴看到这位开发人员“用他的好奇心和手艺帮助了我们所有人”。
在开源社区,这一发现令人警醒。开源安全基金会(Open Source Security Foundation)的阿拉萨纳特南(Arasaratnam)说,维护支撑互联网的软件的志愿者对微薄的报酬和认可并不陌生,但意识到他们现在正被伪装成好心人的资源丰富的间谍追捕,这“令人难以置信地害怕”。
政府官员也在权衡这次“险些”事件的影响,这突显了人们对如何保护开源软件的担忧。国家网络助理主任阿纳贾纳·拉詹告诉《政治》杂志,“我们需要进行很多对话,讨论下一步要做什么”来保护开源代码。
美国网络安全和基础设施安全局(CISA)表示,它一直在依赖使用开源软件的美国公司将资源投入到构建和维护开源软件的社区中。CISA顾问Jack Cable对路透表示,科技公司的责任不仅在于审查开放软件,还在于"做出贡献,帮助建立可持续的开源生态系统,我们从中获得了如此多的价值。"
目前尚不清楚软件公司是否有适当的动机这样做。在线开源邮件列表中充斥着对科技巨头的抱怨,他们要求志愿者解决开源软件的问题,这些公司利用开源软件赚取数十亿美元。
无论解决方案是什么,几乎所有人都同意,《XZ》这一集表明,有些事情必须改变。
Freund在另一篇乳齿象的帖子中说:“我们在这里非常幸运。”“我们不能只指望这一点。”
