05-数字化时代的供应链安全-斗象陈幸幸.docxVIP

数字化时代的供应链安全2024.11.09陈幸幸

数字化时代的供应链安全

2024.11.09

陈幸幸

软件供应链引发的安全问题层出不穷2021年末安全研究人员发现Log4j中的一个远程代码执行（RCE）漏洞。攻击者可以利用该漏洞在受影响的系统上执行任意代码。Log4j漏洞影响了成千上万的应用程序和服务，许多知名企业和组织都受到波及，包括云服务提供商、

软件供应链引发的安全问题层出不穷

2021年末

安全研究人员发现Log4j中的一个远程代码执行（RCE）漏洞。攻击者可以利用该漏洞在受影响的系统上执行任意代码。Log4j漏洞影响了成千上万的应用程序和服务，许多知名企业和组织都受到波及，包括云服务提供商、

金融机构等。

2024年初

LinuxXZUtils项目，一组免费的数据压缩命令行工具和库，被发现遭受了供应链性质的攻击。该攻击是一个高度复杂和精密的后门，它被巧妙地混淆和隐藏，并篡改了OpenSSH的逻辑，从而实现未经授权的访问。

取证分析表明，这些提交是由一名用户名为JiaT75的GitHub用户操作的，就像披着羊皮的狼一样，JiaT75通过与项目其他贡献者社交并提供积极贡献，逐渐建立了信任，最终获得了维护XZ项目档案的控制

权，并获得了合并提交的权限。

2024年7月

持续大约两到三天，使得全球经济陷入停滞，原因是CrowdStrike发布了一次内容配置更