講真，大家都舉起手機(jī)拍拍拍的場(chǎng)景雷鋒網(wǎng)也不是沒見過，在一些安全論壇上，講者講到精彩的干貨時(shí)，也有這種場(chǎng)面出現(xiàn)。

不過，這次“拍拍拍”很特殊，因?yàn)槔锩娴臄?shù)據(jù)（還有公司名）要是漏出來，估計(jì)很多家公司都要睡不好了。

一場(chǎng)看誰更單純的測(cè)試

故事還得從幾天前說起，雷鋒網(wǎng)編輯參加了一場(chǎng)安全圈的閉門會(huì)議。

這個(gè)會(huì)議的主要促成者之一是阿里巴巴安全部的安全研究員杭特，也就是上次宅客頻道采訪過，覺得安全圈“攻擊者”比“防守者”要多得多，這種現(xiàn)象不太好的那個(gè)橘色毛衣的堅(jiān)守者（他已經(jīng)穿了四次了）。

事先，編輯已經(jīng)猜到，杭特開這次大會(huì)可能是為了“兜售”他想辦的那場(chǎng)阿里軟件供應(yīng)鏈安全大賽。

然后，編輯看了看參與者名單：阿里巴巴、騰訊、知道創(chuàng)宇、某滴、京東、華為、360、中科院軟件所、中科院計(jì)算所、清華……等一下，騰訊安全玄武實(shí)驗(yàn)室和知道創(chuàng)宇的代表也來了？

熟悉網(wǎng)絡(luò)安全領(lǐng)域的朋友們可能知道，幾個(gè)月前，騰訊玄武實(shí)驗(yàn)室和知道創(chuàng)宇幫助支付寶發(fā)現(xiàn)了一個(gè)大漏洞，然后阿里今年又幫助微信找到了一個(gè)超級(jí)大漏洞……

嘿嘿嘿。。。

本來以為兩方會(huì)心存芥蒂，現(xiàn)在又本著一起促進(jìn)的心共同玩耍了，這種友好的氛圍還是值得點(diǎn)贊的。所以，雷鋒網(wǎng)宅客頻道編輯抱著這種期許，來到了會(huì)議室。

萬萬沒想到，杭特剛介紹了幾分鐘軟件供應(yīng)鏈安全的定義和歷史事件，然后就拋出了一個(gè)“炸彈”：

“XXXX（編者注：自己腦補(bǔ)是誰吧）進(jìn)行了一個(gè)PIP軟件倉(cāng)庫(kù)的實(shí)驗(yàn)，以前有些公司也搞過。不需要其他投入，只要一個(gè)免費(fèi)的郵箱，一臺(tái)能連上互聯(lián)網(wǎng)的機(jī)器，就能對(duì)程序員進(jìn)行這場(chǎng)網(wǎng)絡(luò)安全的測(cè)試了。”

。。。。蛤？暴擊程序員？

是的。

“普通的程序員要用一些工具去做××軟件，可能會(huì)先查詢一下，程序員是非常單純的，比如，他可能要個(gè)pip install zlib，但是事實(shí)上這個(gè)東東的正經(jīng)名字叫做zlib3，很多程序員敲的時(shí)候，沒有意識(shí)到，就敲了zlib 開始搜索。所以，XXXX就在 python pip 源上傳“惡意測(cè)試”包 zlib，總數(shù)約 20 個(gè)。然后實(shí)驗(yàn)者就開始等待了……”

“單純”的程序員們果然中招了

下面是一段中招公司看了要流淚、程序員看了要心碎、所有 PR 可能要圍上來堵上嘴的數(shù)據(jù)和公司名稱縮寫：

100天之內(nèi)這場(chǎng)測(cè)試獲得了全球X0000臺(tái)主機(jī)的控制權(quán)，其中XX000臺(tái)是最高權(quán)限，中招公司（名稱縮寫）的涵蓋范圍有：（出于保密不放出縮寫了）正經(jīng)的大公司基本不落，還有各種牛叉的國(guó)際高校和嚴(yán)肅機(jī)構(gòu)……

（其實(shí)，現(xiàn)場(chǎng)參加的黑客大牛們都知道了公司名稱和具體數(shù)字，并舉起了手機(jī)拍照，但素，我們閉緊了嘴巴。。。。）

幸好，這次主導(dǎo)進(jìn)行實(shí)驗(yàn)的都是正經(jīng)的安全研究員，開展的是善意的網(wǎng)絡(luò)安全測(cè)試，只記錄了賬戶名用作統(tǒng)計(jì)。

但一個(gè)讓人后怕的細(xì)節(jié)是，在 100 天的實(shí)驗(yàn)期中，他們將自己收集賬戶名的行為明明白白地暴露出來，沒有隱藏痕跡，但直到國(guó)外有人發(fā)覺，并進(jìn)行了新聞報(bào)道，有些廠商還后知后覺。

做了這么多，這個(gè)測(cè)試只是想證明一個(gè)觀點(diǎn)：如果軟件供應(yīng)鏈源頭產(chǎn)生污染，影響是辣么大。

編輯突然對(duì)杭特說的歷史事件有了更深的感悟：

2015年， Xcode Ghost這種手機(jī)病毒通過非官方下載的 Xcode 傳播，能夠在開發(fā)過程中通過 CoreService 庫(kù)文件進(jìn)行感染，使編譯出的 App 被注入第三方的代碼，向指定網(wǎng)站上傳用戶數(shù)據(jù)。蘋果的應(yīng)用商店AppStore無法檢測(cè)出病毒，因?yàn)樯痰陮徍酥荒艽_定App調(diào)用了哪些系統(tǒng)API。于是帶毒應(yīng)用順利進(jìn)入蘋果官方商店，而用戶則通過蘋果官方商店下載到了病毒應(yīng)用。

你也許長(zhǎng)了個(gè)經(jīng)驗(yàn)：不要從非官方渠道下載。。。

但是，2017年，國(guó)外著名的免費(fèi)系統(tǒng)優(yōu)化和隱私保護(hù)軟件 CCleaner 官方版被安全人員發(fā)現(xiàn)含有惡意代碼，會(huì)偷偷執(zhí)行 Floxif 木馬。

然后，你可能連官方軟件都不能輕易相信了。。。

程序員可能更崩潰：我連自己辛辛苦苦寫的代碼都不能相信了？

所以，杭特想舉辦一場(chǎng)阿里軟件供應(yīng)鏈安全大賽，這個(gè)比賽的特點(diǎn)是，通過自動(dòng)化軟件進(jìn)行供應(yīng)鏈安全風(fēng)險(xiǎn)點(diǎn)檢測(cè)。

不懂，怎么玩

我們從目標(biāo)倒推說起。杭特的目標(biāo)是：提升業(yè)界檢測(cè)軟件惡意行為的能力。

于是，他想到，這是一個(gè)參賽者涵蓋了出題人和答題人的比賽，大意就是，出題人在上面搞出來一些事情，看答題人能不能檢測(cè)出來，這樣你強(qiáng)我也強(qiáng)，清風(fēng)拂山崗。

但是，供應(yīng)鏈的范圍太廣了，像大海一樣，杭特并不希望，這淪為一場(chǎng)人肉戰(zhàn)：人走了，這家公司可能就失去了這種能力，得把檢測(cè)軟件惡意行為的能力以能傳承的方式積累起來。

因此，這是一場(chǎng)通過平臺(tái)、工具的形式來比拼的比賽！

杭特還希望，這次比賽是個(gè)催化劑，他們將與優(yōu)秀團(tuán)隊(duì)合作，讓真正有能力的團(tuán)隊(duì)獲得支持，能堅(jiān)持下去，從而提升整個(gè)業(yè)界的檢測(cè)能力。

比如，當(dāng)天會(huì)議現(xiàn)場(chǎng)，騰訊玄武實(shí)驗(yàn)室的小哥哥丁川達(dá)就介紹了一個(gè)名為 “Project A'Tuin” 的供應(yīng)鏈安全檢測(cè)的實(shí)踐項(xiàng)目。

杭特當(dāng)場(chǎng)表示：小哥哥來參加比賽吧。

（腦補(bǔ)一下只是受邀做個(gè)演講還沒心理準(zhǔn)備的丁川達(dá)的內(nèi)心情感）

不過，有意思的是，杭特說：“初賽就是怎么玩都可以，讓大家沒有顧慮來參賽，我就看你是否具備檢測(cè)特定惡意行為的能力，我們希望決賽有知識(shí)產(chǎn)權(quán)共享，這個(gè)共享不是說你得分享方案，而是通過這種類似于論文答辯的形式，能夠向大家證明這個(gè)方案是行得通的?！?/p>

這意味著，未來如果有可能，我們居然能看到兩個(gè)老對(duì)手合作的盛況，至于阿里如何和參賽方妥善商量知識(shí)產(chǎn)權(quán)的問題，這就是以后的故事了。

鳴謝一起舉辦這次“軟件供應(yīng)鏈安全”技術(shù)研討會(huì)的InForSec

原來黑客大牛們的閉門會(huì)議也是這么的

愛拍照！

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。