|
Elite Member
|
引用:
|
作者野口隆史
AUR 的入侵事件是真的把我驚呆了
我做夢都想不到有人想得出這種方法入侵 AUR
AUR 其實跟 PPA, PIP, NPM 套件庫很像
實際是半官方性質
AUR 當初其實有考慮到這類安全問題
所以整個套件的 BUILD 都會透明公開在 PKGBUILD 中
但這些人卻花時間混入社群,扮演熱心網民
然後接管在 AUR 上歷史悠久可靠的套件
絕大部分的人根本想不到有這一招
|
我記得之前就有類似,忘記入侵那個然後被閒閒沒事工程師發現惡意代碼失敗 
這次是潛伏更久,然後一次大規模暴雷 |