## XZ 后门事件概要 最近一次针对广泛使用的 XZ 数据压缩工具的复杂供应链攻击，几乎危及了许多 Linux 发行版。恶意行为者花费数月时间，巧妙地将后门注入 XZ 代码库中，旨在对使用受损库的系统进行潜在的远程代码执行。 此次攻击并非通过传统的安全审计发现，而是由一位微软员工在调试过程中注意到晦涩的性能问题，随后 Red Hat 的 valgrind 测试确认了这一点。后门隐藏在测试文件中，并通过修改后的构建脚本引入。 讨论强调了事件的严重性——可能赋予攻击者访问大量系统的权限——以及其被发现所涉及的难以置信的运气。该事件还引发了关于软件供应链安全、依赖项的作用（特别是通过 systemd）以及对基础开源项目增加审查和资金的需求的争论。虽然归因尚不确定，但猜测指向一个国家支持的行动者，可能来自俄罗斯，但证据尚无定论。该事件强调了持续存在的威胁形势以及勤奋的代码审查和健全的安全实践的重要性。