العلامات الشائعة:
الافتراضية أمان DNS التحقق الرسمي تحليل قابلية الوصول أخطاء المترجم تضارب الماكرو امتدادات الويب إطار عمل تطوير كومودور 64 بياسيك 2.0 جميع العلامات

هجوم على سلسلة التوريد للمصدر المفتوح: حادثة باب خلفي xz

2025-03-22

في مارس 2024، تم اكتشاف باب خلفي في xz، وهو برنامج ضغط مستخدم على نطاق واسع. قام مُدير خبيث، مستخدماً اسم مستعار جيا تان، بإدراج هذا الباب الخلفي سرا على مدار ثلاث سنوات. سمح الباب الخلفي بتنفيذ التعليمات البرمجية عن بُعد على الأجهزة التي تم تثبيت ssh عليها. كان اكتشافه عرضيًا، من قِبل مطور Postgres كان يحقق في مشاكل الأداء غير ذات الصلة. توضح هذه المقالة آلية الباب الخلفي وتقترح استخدام إمكانية إعادة إنتاج عملية البناء للكشف عنه. تضمن الباب الخلفي تعديل عملية بناء xz لحقن ملف كائن خبيث، واستغلال آلية ifunc من glibc لربط دالة RSA_public_decrypt من ssh. يدافع الكاتب عن بناء البرامج من مصادر موثوقة واستخدام إمكانية إعادة إنتاج عملية البناء لتعزيز أمان سلسلة توريد البرامج، مثل مقارنة إصدارات GitHub مع ملفات tarball التي يوفرها المدير والتحقق من الاتساق الثنائي بين مصادر البناء.

اقرأ المزيد
(luj.fr)
التكنولوجيا أمان المصدر المفتوح باب خلفي xz

إعادة إنتاج عمليات بناء NixOS: أفضل مما تعتقد

2025-02-12

لطالما كانت إمكانية إعادة إنتاج عمليات بناء NixOS محل جدل. فبينما يساهم نموذج مدير الحزم الوظيفي في إعادة إنتاج عمليات البناء، إلا أنه لا يضمن إعادة إنتاج البتات لجميع عمليات البناء. وتُظهر ورقة بحثية جديدة دراسةً تجريبيةً لـ Nixpkgs (مجموعة حزم NixOS) على مدار ست سنوات، معدلًا متزايدًا باستمرار لإعادة الإنتاج - من 69٪ في عام 2017 إلى 91٪ في أبريل 2023. كما حددت الدراسة الأسباب السائدة لعدم إعادة الإنتاج، مثل التواريخ المضمنة، ومخرجات uname، ومتغيرات البيئة، ومعرّفات البناء. وتُظهر هذه النتائج أنه على الرغم من أن Nixpkgs يحقق بالفعل معدلات عالية من إعادة الإنتاج، إلا أن هناك مجالًا للتحسين من خلال معالجة هذه النقاط. هذا البحث ضروري لزيادة الثقة في بروتوكول الاستبدال Nix ودفع تطوير حلول التخزين المؤقت الموزعة القائمة على إعادة إنتاج عمليات البناء.

اقرأ المزيد
(luj.fr)
التطوير إعادة إنتاج عمليات البناء