人気のタグ:
仮想化 DNSセキュリティ 形式的検証 到達可能性解析 C言語 コンパイラエラー マクロの衝突 Web拡張機能 開発フレームワーク コモドール64 すべてのタグ

オープンソースサプライチェーン攻撃:xzバックドアインシデント

2025-03-22

2024年3月、広く使用されている圧縮ソフトウェアxzにバックドアが発見されました。Jia Tanという偽名を使った悪意のあるメンテナーが、3年以上にわたってこのバックドアを密かに挿入していました。このバックドアは、sshがインストールされているマシンでリモートコード実行を可能にしました。その発見は偶然で、関連のないパフォーマンスの問題を調査していたPostgres開発者によって発見されました。この記事では、バックドアの仕組みと、ビルドの再現性を利用した検出方法について詳しく説明します。バックドアは、xzのビルドプロセスを変更して悪意のあるオブジェクトファイルを挿入し、glibcのifuncメカニズムを利用してsshのRSA_public_decrypt関数をフックすることで構成されていました。著者は、信頼できるソースからソフトウェアをビルドし、ビルドの再現性を利用してソフトウェアサプライチェーンのセキュリティを向上させることを提唱しており、GitHubリリースとメンテナー提供のtarballを比較することや、ビルドソース間でのバイナリの一貫性を確認することが含まれます。

続きを読む
(luj.fr)
テクノロジー xzバックドア

NixOSのビルド再現性:思っていたより良い

2025-02-12

NixOSのビルド再現性は、長らく議論の的となってきました。機能的なパッケージマネージャーモデルはビルドの再現性に貢献しますが、すべてのビルドでビット単位の再現性を保証するわけではありません。新しい研究論文では、Nixpkgs(NixOSのパッケージ集合)を6年間経験的に調査し、再現率が着実に増加していることを明らかにしました。2017年の69%から2023年4月には91%に達しています。この研究では、埋め込まれた日付、uname出力、環境変数、ビルドIDなど、再現性の欠如の主な原因も特定されました。これらの知見は、Nixpkgsがすでに高い再現率を達成している一方で、これらの点を改善することでさらなる向上を図れることを示しています。この研究は、Nix置換プロトコルの信頼性を高め、ビルド再現性に基づく分散キャッシュソリューションの開発を促進するために不可欠です。

続きを読む
(luj.fr)
開発 ビルド再現性