Ang OpenSSF (Open Source Security Foundation), nga gimugna ubos sa pagdumala sa Linux Foundation aron sa pagpalambo sa seguridad sa open source software, nagpasidaan sa komunidad mahitungod sa pag-ila sa kalihokan nga may kalabutan sa mga pagsulay nga makontrol ang popular nga open source nga mga proyekto, nga makapahinumdom sa estilo niini. sa mga aksyon sa mga tig-atake sa proseso sa pag-andam sa pag-instalar sa backdoor sa proyekto xz. Susama sa pag-atake sa xz, ang mga kaduhaduhaan nga mga indibidwal nga wala kaniadto labi nga nalambigit sa pag-uswag misulay sa paggamit sa mga pamaagi sa social engineering aron makab-ot ang ilang mga katuyoan.
Ang mga tig-atake misulod sa mga sulat sa mga miyembro sa nagdumala nga konseho sa OpenJS Foundation, nga naglihok isip usa ka neyutral nga plataporma alang sa hiniusang pagpalambo sa bukas nga mga proyekto sa JavaScript sama sa Node.js, jQuery, Appium, Dojo, PEP, Mocha ug webpack. Ang mga sulat, nga naglakip sa pipila ka mga third-party developers nga adunay kadudahan nga open source development history, misulay sa pagkombinser sa pagdumala sa panginahanglan sa pag-update sa usa sa mga sikat nga proyekto sa JavaScript nga gi-curate sa OpenJS nga organisasyon.
Ang hinungdan sa pag-update giingon nga kinahanglan nga idugang ang "proteksyon batok sa bisan unsang kritikal nga mga kahuyangan." Bisan pa, walaβy gihatag nga mga detalye bahin sa esensya sa mga kahuyangan. Aron mapatuman ang mga pagbag-o, ang kadudahang developer mitanyag nga ilakip siya sa mga nagmintinar sa proyekto, sa pag-uswag diin gamay ra ang iyang gikuha kaniadto. Dugang pa, ang susamang kadudahan nga mga senaryo alang sa pagpahamtang sa ilang code giila sa duha ka mas popular nga mga proyekto sa JavaScript nga wala nakig-uban sa OpenJS nga organisasyon. Gituohan nga ang mga kaso dili isolated ug ang mga tigmentinar sa open source nga mga proyekto kinahanglang magpabiling mabinantayon sa pagdawat sa code ug pag-aprobar sa mga bag-ong developers.
Ang mga timailhan nga mahimong magpakita sa malisyoso nga kalihokan naglakip sa maayo nga katuyoan, apan sa samang higayon agresibo ug makanunayon, mga paningkamot sa gamay nga nahibal-an nga mga miyembro sa komunidad sa pagduol sa mga tigmentinar o mga tagdumala sa proyekto nga adunay ideya sa pagpauswag sa ilang code o paghatag status sa maintainer. Ang pagtagad kinahanglan usab nga ibayad ngadto sa pagtumaw sa usa ka grupo sa pagsuporta sa palibot sa mga ideya nga gipasiugda, naporma gikan sa tinumotumo nga mga indibidwal nga wala pa miapil sa kalamboan o bag-o lang miapil sa komunidad.
Kung gidawat ang mga pagbag-o, kinahanglan nimong tagdon ingon nga mga timailhan sa mahimoβg makadaot nga kalihokan nga pagsulay nga ilakip ang binary data sa mga hangyo sa paghiusa (pananglitan, sa xz, usa ka backdoor ang gisumite sa mga archive aron sulayan ang unpacker) o code nga makalibog o lisud sabton. Kinahanglang hatagan ug konsiderasyon ang mga pagsulay sa pagsulay sa ginagmay nga mga pagbag-o nga makadaot sa seguridad nga gisumite aron masukod ang tubag sa komunidad ug aron makita kung adunay mga tawo nga nagsubay sa mga pagbag-o (pananglitan, gipulihan sa xz ang Safe_fprintf function sa fprintf). Ang pagduda kinahanglan usab nga pukawon pinaagi sa dili tipikal nga mga pagbag-o sa mga pamaagi sa pag-compile, asembliya ug pag-deploy sa proyekto, ang paggamit sa mga artifact sa ikatulo nga partido ug ang pagdako sa pagbati sa panginahanglan sa dinalian nga pagsagop sa mga pagbag-o.
Source: opennet.ru