Bus factor = 1: 22 критичные для индустрии библиотеки, которые держатся на одном человеке

Где-то прямо сейчас один программист не спит и патчит баг в библиотеке, от которой зависит половина интернета. Он делает это бесплатно. Его никто не знает. Если он уйдёт — никто не придёт. Это история про структурную уязвимость, которую мы все создали вместе и продолжаем игнорировать.

https://habr.com/ru/articles/1037090/?utm_source=habrahabr&utm_medium=rss&utm_campaign=1037090

#open_source #bus_factor #xz_utils #информационная_безопасность #выгорание #зависимости #supply_chain_attack #бэкдор #разработка_по #управление_рисками

Bus factor = 1: 22 критичные для индустрии библиотеки, которые держатся на одном человеке

Где-то прямо сейчас один программист не спит и патчит баг в библиотеке, от которой зависит половина интернета. Он делает это бесплатно. Его никто не знает. Если он уйдёт — никто не придёт. Это история про структурную уязвимость, которую мы все создали вместе и продолжаем игнорировать.

https://habr.com/ru/articles/1037090/

#open_source #bus_factor #xz_utils #информационная_безопасность #выгорание #зависимости #supply_chain_attack #бэкдор #разработка_по #управление_рисками

Как один разработчик предотвратил крупнейшую кибератаку: история взлома XZ Utils

Прошел ровно год с момента, когда мир с открытым ртом следил за расследованием одного из самых изощрённых бэкдоров в истории Linux. История с библиотекой xz Utils напоминала триллер: внедрение под реальным именем, доверие сообщества, закладки в коде — и случайное обнаружение в самый обычный рабочий день. 29 марта 2024 года программист Андрес Фройнд проснулся, как обычно, рано. На кухне уже фыркала кофемашина, а ноутбук мигал знакомым индикатором обновлений. Андрес любил утренние часы: пока город только-только просыпался, он уже погружался в привычную рутину — тесты, логи, графики загрузки процессора. Утром он запустил стандартный набор тестов. Всё выглядело штатно: графики ровные, CPU не перегружен, багов не видно. И вдруг — странность. Незначительная ошибка, но не из тех, что просто игнорируешь. Андрес нахмурился. «Что это было?» — пробормотал он. Он подключился по SSH к серверу, чтобы проверить детали, и заметил ещё одно отклонение: задержка отклика в 500 миллисекунд. Полсекунды. Для большинства — ерунда. Но для Андреса — первый тревожный звонок. Он начал копать глубже.

https://habr.com/ru/companies/first/articles/897764/

#devops #linux #программирование #opensourse #информационная_безопасность #опенсорс #xz_utils #уязвимость #бэкдор #безопасность

Hintergrund und Verlauf des Angriffs auf das XZ-Projekt:

https://www.heise.de/blog/Aktenzeichen-XZ-ungeloest-9678531.html

#xz #xz_utils #itsecurity

Weitere Hintergrundinformationen zu der Backdoor in den xz_utils:

Hier sind die Mails von Andres Freund seit Freitag, den 29. März abgelegt, wo er über seine Entdeckung eben jener Backdoor berichtet:

https://lwn.net/ml/oss-security/202403[email protected]/

#xz_utils #opensource #backdoors

Am Donnerstag, den 04.04. findet wieder der Linux-Treff Nord beim Theo in der Schnepfenreuther Hauptstraße 19 statt.

Hier gibt es ab 18:00 Uhr gutes Essen und dann ab ca. 19:30 Uhr geht es mit #Linux und freier Software weiter. Wir sprechen u.a. über den LPD und lassen uns überraschen, was unsere Gäste mitbringen. Wir informieren auch über den Backdoor in der liblzma5.

Wenn Dich freie Software und Linux interessiert komm doch vorbei.

Wir freuen uns schon!

#ltn #opensource #lpd #xz_utils

This may not be the best article about #XZ but you have to admit it has the best graphic:

--

#xz_utils #cybersecurity #opensource

https://hiberhernandez.com/noticias/backdoor-en-xz-utils-impacto-en-distribuciones-principales-de-linux/