OpenSSF (Open Source Security Foundation), tsim nyob rau hauv kev txhawb nqa ntawm Linux Foundation los txhim kho kev ruaj ntseg ntawm cov software qhib, ceeb toom rau cov zej zog txog kev txheeb xyuas cov haujlwm ntsig txog kev sim kom tau txais kev tswj hwm los ntawm cov haujlwm qhib nrov, nco txog nws cov qauv. ntawm kev ua ntawm cov neeg tawm tsam hauv cov txheej txheem ntawm kev npaj rau nruab ib lub backdoor hauv qhov project xz. Zoo ib yam li kev tawm tsam ntawm xz, cov neeg tsis txaus ntseeg uas tsis tau koom nrog kev txhim kho yav dhau los tau sim siv cov txheej txheem kev sib raug zoo los ua tiav lawv lub hom phiaj.
Cov neeg tawm tsam tau nkag mus rau hauv kev sib txuas lus nrog cov tswv cuab ntawm pawg tswj hwm ntawm OpenJS Foundation, uas ua haujlwm nruab nrab rau kev sib koom ua ke ntawm kev qhib JavaScript xws li Node.js, jQuery, Appium, Dojo, PEP, Mocha thiab webpack. Cov ntawv xov xwm, uas suav nrog ntau tus neeg tsim tawm thib peb nrog qhov tsis txaus ntseeg qhib qhov kev txhim kho keeb kwm, tau sim ua kom muaj kev tswj hwm ntawm qhov xav tau hloov kho ib qho ntawm cov haujlwm JavaScript nrov tau kho los ntawm OpenJS lub koom haum.
Yog vim li cas rau qhov hloov tshiab tau hais tias yuav tsum tau ntxiv "kev tiv thaiv tawm tsam txhua qhov tsis zoo." Txawm li cas los xij, tsis muaj cov ntsiab lus qhia txog qhov tseem ceeb ntawm qhov tsis zoo. Txhawm rau ua raws li cov kev hloov pauv, tus tsim tawm tsis txaus ntseeg tau muab suav nrog nws ntawm cov tswj hwm ntawm qhov project, hauv kev txhim kho uas nws tau dhau los ua ib feem me me. Tsis tas li ntawd, cov xwm txheej tsis txaus ntseeg zoo sib xws rau kev tso lawv cov lej raug txheeb xyuas nyob rau hauv ob qhov haujlwm JavaScript nrov dua tsis cuam tshuam nrog OpenJS lub koom haum. Nws tau xav tias cov xwm txheej tsis raug cais tawm thiab cov neeg saib xyuas ntawm cov haujlwm qhib yuav tsum tau ceev faj thaum lees txais cov cai thiab pom zoo cov neeg tsim tawm tshiab.
Cov paib uas yuav qhia tau tias kev ua phem muaj xws li kev mob siab rau, tab sis tib lub sijhawm ua nruj ua tsiv thiab tsis tu ncua, kev siv zog los ntawm cov neeg hauv zej zog me me kom mus cuag cov neeg saib xyuas lossis tus thawj tswj xyuas qhov project nrog lub tswv yim ntawm kev txhawb nqa lawv cov cai lossis kev tso cai rau tus neeg saib xyuas. Kev saib xyuas kuj yuav tsum tau them rau qhov tshwm sim ntawm pab pawg txhawb nqa nyob ib puag ncig cov tswv yim tau txhawb nqa, tsim los ntawm cov neeg tsis ntseeg uas tsis tau koom nrog kev txhim kho yav dhau los lossis tsis ntev los no tau koom nrog hauv zej zog.
Thaum lees txais cov kev hloov pauv, koj yuav tsum txiav txim siab raws li cov cim qhia tias muaj peev xwm ua phem rau kev sim suav nrog cov ntaub ntawv binary hauv kev thov sib koom ua ke (piv txwv li, hauv xz, lub qhov rooj rov qab tau xa mus rau hauv cov ntaub ntawv khaws cia los kuaj lub unpacker) lossis cov lej uas tsis meej pem lossis nyuaj rau kev nkag siab. Kev txiav txim siab yuav tsum tau muab rau kev sim sim ntawm qhov kev hloov pauv me me uas cuam tshuam txog kev nyab xeeb xa mus rau ntsuas cov lus teb hauv zej zog thiab saib seb puas muaj cov neeg taug qab cov kev hloov pauv (xz hloov lub Safe_fprintf muaj nuj nqi nrog fprintf). Kev tsis txaus siab yuav tsum tau aroused los ntawm atypical hloov nyob rau hauv cov txheej txheem ntawm muab tso ua ke, sib sau ua ke thiab xa mus rau lub project, kev siv ntawm peb-tog artifacts thiab escalation ntawm qhov kev xav ntawm kev xav tau sai sai hloov.
Tau qhov twg los: opennet.ru