axios 和 LiteLLM 都被攻击了, 影响还很大, 我觉得有几个地方能改善:
-
新包冷静期, 功能包发布后冷静几天, 安装程序不应该直接用最新包; 漏洞补丁包应该快速发布后只修改漏洞, 安装程序识别 bugfix 后安装
-
分布式评估, 既然源码是开放的, 云厂商/安全厂商 是否可以组成安全联盟, 对所有开放源码的程序自打包, 打包好的程序 hash 校验通过后投票才支持 pypi/npm 等发布, 这算是公益支持吧, 加固互联网支柱
-
自动化监测, 如果源码没更新, 新包却发布了, 这就是明显问题, 所以是不是有整套流程的动作监控, 代码修改->release->打包->发包 等流程上用时间戳+签名等技术全流程上链记录
感觉这几条对开发者比较不友好, 很多广泛使用的应用虽然维护者少, 但一旦出问题就是波及全球的影响, 各位觉得有什么好方法? 开源软件的好处是大家都能看到能自己部署打包, 换 apifox 这种死不认账的那真是欲哭无泪, 只能躲远点了
目前尚无回复
Select Language