| 2016 年 11 月,旧金山交通局的计算机系统遭到了勒索软件的攻击,攻击者利用了名为 Mad Gadget 的
Java 对象反序列化漏洞,漏洞影响多个版本的 Apache Commons Collections,早在 2015
年已经披露和修复,大部分受影响的企业产品也都发布了安全公告和更新。然而开源项目并没有人每天都去读安全公告,它们主要依靠志愿者的通知。 在漏洞披露几个月后,一位 Google 雇员注意到众多依赖 Collections 的知名开源库仍然没有打上补丁。这位雇员采取了行动,向这些开源项目递交 pull requests 修复漏洞 ,她还招募了同事一起为开源项目打补丁。但很快他们注意到,这个工作的规模比预期的更为庞大。他们不仅仅需要为几个大的开源项目打补丁,还要为依赖于这些开源库的成百上千个下游项目打补丁。 Google 雇员利用 BigQuery 搜索 GitHub 上公开代码的项目,评估使用不安全的Collections 旧版本的开源项目数量,发现多达 2,600 个不同项目仍然使用不安全的版本。大约 50名 Google 雇员利用 20% 的时间发起了 Rosehub 行动,为所有已知受影响的项目更新代码打上补丁。 |
