2024年3月,开源社区披露了一起被称为“核弹级”的供应链攻击事件。核心数据压缩库XZ Utils(具体为liblzma组件)的5.6.0及5.6.1版本被植入恶意后门,漏洞编号定为CVE-2024-3094,其CVSS评分高达10.0。该事件因微软工程师Andres Freund在排查SSH性能异常时偶然发现,从而避免了对全球Linux基础设施的毁灭性打击。
此次事件深刻暴露了开源软件供应链在维护者身份审核、构建过程完整性校验及二进制分发验证等方面的系统性风险。对于网络安全服务行业而言,传统的边界防御已无法应对此类深层渗透威胁。企业必须加速建立软件物料清单(SBOM)管理机制,强化对上游依赖组件的持续监控与完整性验证。同时,推行零信任架构,确保关键系统在即使底层组件受损的情况下仍能维持最小权限访问。
当前,尽管主要发行版已紧急回退至安全版本,但部分容器镜像及衍生系统中仍可能存在残留风险。建议各行业客户立即开展专项排查,严格锁定关键组件版本,并引入运行时应用自保护(RASP)技术,以构建更具韧性的数字基础设施防御体系。