• 主要观点：软件供应链安全问题半个世纪未变，虽无银弹但有改进方向，需重视并采取措施。

• 关键信息：

  • 以 Multics 系统和 Postgres 开发者发现的 xz 攻击为例，说明软件供应链安全问题的存在及危害。
  • 提出开源软件供应链安全的定义，包括攻击、漏洞和安全三部分，并指出其要点和范围。
  • 强调理解软件供应链的重要性，包括构建图和软件流经的计算机及服务等。
  • 介绍保障软件供应链安全的措施，如软件认证、构建可重现、快速发现和修复漏洞、预防漏洞、资助开源等。

• 重要细节：

  • 软件供应链攻击可在交付前将恶意代码插入受信任软件，漏洞是第三方开源组件导致的可利用弱点，安全是针对这些的防御工程。
  • 硬件供应链和闭源软件组件不在讨论范围内，受影响软件不一定是开源的，攻击和漏洞有区别。
  • 软件认证可通过加密签名和维护可信数据库实现，确保代码未被恶意篡改。
  • 构建可重现可通过避免不必要的依赖和使用工具来实现，以验证二进制文件未被修改。
  • 快速发现和修复漏洞需使用漏洞扫描工具，定期扫描并准备更新，同时寻找未知漏洞。
  • 预防漏洞可通过省略不必要的依赖、使用更安全的编程语言来实现。
  • 资助开源是解决问题的关键，但目前仍面临困难，如 xz 攻击就是开源资助不足导致的。

• 相关人物及贡献：

  • Russ Cox 领导 Go 语言和环境的开发，其文章基于该工作，并举例说明软件供应链安全问题。
  • 众多研究人员和组织在开源软件供应链安全领域做出了贡献，如 Blackduck、OpenSSF 等。
• 参考资料：列举了多篇相关的研究文章和报告，如 Karger 等人的 Multics 安全评估报告等。

总之，文章深入探讨了开源软件供应链安全问题，提出了多种应对措施和建议，强调了持续改进和重视该问题的重要性。