这个邮件来自 Arch Linux,提示用户尽快升级系统及容器镜像,因为其 xz 软件包已经被恶意篡改并植入了后门。 类似的安全事件,如今并不少见。比如,前段时间才看到新闻,说 GitHub 正受到大量的自动 fork 并分发恶意代码的攻击,影响达到数十万个仓库(甚至更多)。可见,开源社区里,一切并不像大神曾经设想的 “given enough eyeballs, all bugs are shallow(只要眼球够多,bug都能被消除)” 那般美好。 其实,对代码及其分发二进制包进行检查和校验,开源社区早有各种成熟手段,诸如各种哈希码和电子签名,能够有效识别代码贡献者、文件发布者的身份。但“不够便捷”总是原罪,现实中能够采取足够安全措施的只是极少数。包 …