摘要
硬件中的固件,控制器的实现,甚至人工智能(AI)芯片中的算法,都可以看成是广义的软件。“软件定义世界,数据驱动未来”,软件成为影响世界发展的重要因素。前美国联邦调查局(FBI)员工号称曾在欧盟通信的系统里置入过算法级后门,这个传言似乎离我们相对遥远。但是,最近几年,软件供应链的安全问题却呈现出迅速增长的趋势。从XCodeGhost引起大众的注意,到NetSarang公司因入侵导致的XShell软件后门事件,之后又发生了多起开发基础库(PIP/NPM)源码污染导致的后门植入,今年则有Gentoo Linux发行版的GitHub因账号安全导致所有软件包存在威胁,以及账号登录管理库(libssh)后门甚至可以影响F5设备的事件等。软件供应链导致的安全问题越来越向上游发展,也越来越隐蔽。
出处
《中国信息安全》
2018年第11期61-63,共3页
China Information Security
