目前 Web3 行业正处于快速发展阶段，开源特性带来便利的同时也伴随安全隐患。近年来，针对 Web3 项目的供应链攻击频发，导致大量资产损失。我们呼吁所有 Web3 开发者关注开源安全，了解供应链攻击风险，欢迎阅读本文并收听相关播客。

“白嫖” 开源的后果就是供应链攻击么? | ALC Beijing 博客

🎙️ 节目介绍

开源软件为现代开发带来了前所未有的效率和自由，但与此同时, 隐藏在其中的 “供应链攻击”[1]也逐渐成为技术圈无法回避的深层隐患。从震惊业界的 Apache Log4j 漏洞[2]，到近期曝出的 xz 后门事件[3]，软件供应链安全问题愈加尖锐。而当引入开源库已经成为开发者们的必然选择时，开源世界又是如何在这个挑战下尝试保持安全、活力和信任间的平衡呢？

在本期由「ALC Beijing 播客」与「编码人声」联合出品的节目中，四位来自开源社区、企业一线与开发者生态的重磅嘉宾，共同围绕 “供应链攻击” 这一核心议题展开深入对谈。从技术分析到社区生态，从开发实践到治理机制，为我们带来了诸多思考与建议。

🧑‍💻 本期主播与嘉宾

✦ 姜宁：Apache 软件基金会 2022/2023/2024 年年度董事，播客 ALC Beijing 主理人

✦ 杨牧天：北京中科微澜科技有限公司 CEO，开放原子开源基金会开源安全委员会安全平台工作组组长

✦ 白宦成：开发者生态顾问，资深技术专家，阿里云 MVP，Linux 中国开发组组长，是多个开源软件项目的作者或管理者

✦ 朱峰：「津津乐道播客网络」创始人，产品及技术专家。

本期精彩看点回顾

 供应链攻击及解决措施讨论 

开源供应链: 不可忽视的“毒药”隐患

节目聚焦了近期最具震撼力的安全事件之一：xz 工具包中的“慢性投毒”攻击。这名看似普通的贡献者潜伏多年，最终在核心功能中植入后门，几乎影响所有 Linux 发行版。

“这不是简单的黑客攻击，而是潜伏式渗透。”——杨牧天

这一事件再次印证了软件供应链攻击的隐蔽性和高危性: 即便是熟悉的工具和库，只要一时疏忽, 便可能引狼入室。嘉宾一致认为，开源项目不能盲目信任贡献者，必须建立健全的审核与信任机制。

如何避免软件供应链攻击

“今天我们谈开源安全，其实是在谈数字基础设施的安全。”——朱峰

供应链攻击不仅仅是技术问题，更是流程和文化的问题。嘉宾们强调：

• 引入开源组件时应进行源头验证。
• 企业应设立安全评估机制和应急响应体系。
• 开源社区需普及安全开发意识。

开源软件的依赖关系与供应链攻击

“现代软件像搭积木一样堆出来的，积木出问题，全盘皆输。”——白宦成

复杂依赖链使得一个微小漏洞可能迅速蔓延整个系统。尤其在 CI/CD 自动构建[4]场景中，开发者很可能无感知地引入风险。

嘉宾建议引入 SBoM（软件物料清单）[5]等标准化方式来梳理依赖。

“白嫖” 开源 ≠ 放弃责任

“开源是自由的，但不是免费的午餐。”——白宦成

“如果我们只用而不共享，那等于是在消费社区的信用。”——姜宁

开源软件的可用性并不意味着 “使用者免责”。在依赖众多第三方库的今天，开发者有责任了解并评估所引入组件的安全性。正如嘉宾杨牧天所强调, 开源不代表 “没有门槛”，而是呼吁 “共建共担” ——只有回馈社区、参与治理，才能真正构建一个可持续、安全的开源生态。

审查机制: 人人有责，机制先行

开发者是否需要审查自己引入的每一行代码

“如果你用的开源项目维护者都跑了，那你就是下一个维护者。” ——白宦成

白宦成指出，虽然现实中 “逐行审查” 并不现实，但可以通过以下方式进行风险控制：

• 使用可信源的镜像与库。
• 配置自动审计与警告机制。
• 企业内部设立审查责任人。

他强调了 “建立可被信任的审查机制” 的重要性。

开源社区治理与安全准入: 从 “自治” 到 “协治”

开源社区安全漏洞问题及解决措施

“漏洞上报不能只靠‘天降好人’，要有机制、有流程。”——姜宁

在开源社区治理方面，姜宁分享了 Apache 基金会[6]在漏洞处理方面的流程：包括私下通报、安全邮件列表、补丁发布等标准机制。他强调 “响应速度与可信沟通渠道” 是关键。

开源软件的安全性与准入机制引发关注

“开源不是乌托邦，更不是法外之地。”——朱峰

朱峰则提出 “不能完全靠开发者自觉” 的观点，主张引入更多结构化、流程化的安全准入机制，避免 “放养式” 维护带来的风险。

安全不是 “你我他的事”，而是需要制度与技术协同治理：

• 强化社区孵化机制。
• 建立代码签名制度与贡献者实名认证。
• 对关键库设立 “安全封装区”。

漏洞上报与应急响应: 技术之外的挑战

节目最后，嘉宾们还探讨了当前漏洞上报机制中的盲点：

• 缺乏统一漏洞编号与披露标准。
• 忽视海外合规与信息沟通问题。

嘉宾们呼吁，需强化开源社区与商业机构之间的 “信任桥梁”，提升响应效率与透明度。

总结: 我们每个人都是 “供应链” 的一环

这期播客深刻提醒我们: 在高度依赖开源构件的软件时代，每一个开发者、每一家企业、每一个社区成员，都是软件供应链的一部分。面对不断演化的安全挑战，“白嫖” 不是长久之计，唯有共同建设、共享责任，才能构筑起真正可信的开发生态。

🎧 推荐大家完整收听本期播客，一起为开源世界的安全注入更多力量!

引用链接

[1] “供应链攻击”: https://zh.wikipedia.org/zh-hans/%E4%BE%9B%E5%BA%94%E9%93%BE%E6%94%BB%E5%87%BB

[2] Apache Log4j 漏洞: https://www.ibm.com/cn-zh/topics/log4j

[3] xz 后门事件: https://zh.wikipedia.org/wiki/XZ%E5%AE%9E%E7%94%A8%E7%A8%8B%E5%BA%8F%E5%90%8E%E9%97%A8

[4] CI/CD 自动构建: https://circleci.com/zh/ci-cd/

[5] SBoM 软件物料清单: https://scribesecurity.com/zh-CN/sbom/#securing-cloud-native-apps-the-power-of-enhanced-sboms

[6] Apache 基金会: https://www.apache.org/

🔍 关于我们

🌟 关于「 OpenBuild 」

OpenBuild 是一个面向 Web3 开发者的开源社区。我们致力于为开发者提供高质量的系统性内容和活动，同时连接 Web2 和 Web3，帮助开发者在 Web3 取得成功。

🌟 关于「 RTE 开发者社区」和「编码人声」

RTE 开发者社区是聚集实时互动领域的中立开发者社区。不止于纯粹的技术交流，我们相信开发者具备更加丰盈的个体价值。行业发展变革、开发者职涯发展、技术创业创新资源，我们将陪跑开发者，共享、共建、共成。

「编码人声」是由「RTE 开发者社区」策划的一档播客节目，关注行业发展变革、开发者职涯发展、技术突破以及创业创新，由开发者来分享开发者眼中的工作与生活。录制嘉宾覆盖信通院&科委专家、国内外资深投资人、VR/AR & 虚拟人 & AIGC 等新兴技术领域头部创业者、一线网红&硬核开发者、跨界画家＆作家＆ 酿酒师等。