[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

315users がブックマーク コメント 44

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

xzパッケージに仕込まれた3年がかりのバックドア、スケール直前に見つけたのはMicrosoftの開発者 | gihyo.jp

315 users gihyo.jp

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント44

  • 注目コメント
  • 新着コメント
georgew
本当に多くの偶然が必要だった(Really required a lot of coincidences.⁠)⁠」と振り返っている > ほんとそうだわ。逆に検知すり抜けた代物はもっと多い可能性。

その他
maketexlsr
ナデラが褒めてるのが、本当に深刻な事態だったのを逆に表してる

その他
raimon49
いち社員の知的好奇心と職人技を讃えてくれる人物がCEOやってるの強すぎるだろ。余裕のある企業が優秀な職人を余裕持たせて働かせていたからたまたま発見できた。

その他
shodai
"Gitではなくtarball(ダウンロードパッケージ)のみに含まれていたという点も発見を難しくしていた"

その他
gowithyou
Jia Tanなる人物、タイムゾーンが中国時間帯でGithubでの活動履歴から国慶節で休みをとっていることから、中国の工作機関の可能性が高い。さすがにバレたことを考えて活動時間を偽装することまでは考えていないでしょ

その他
sho
奇跡としか言いようがない。この他に見逃されている、いっそう巧妙なものがたくさんあるのも間違いないわけで、頭が痛い

その他
petitbang
この流れだと後から買収されたというよりは最初からこの目的でコミュニティに近づいたと考える方が正しそうだな。

その他
hogeaegxa
別にオープンソースだからソースから発見できたというわけではないというのが重要。オプソだから安全クローズドは危険なんて単純な二元論は成り立たないという実例

その他
strawberryhunter
発覚していないのも相当数あるのではないかと思えてくる。

その他
keidge
先日報道された北朝鮮のIT技術者が紛れ込んでいる件も含めて、中ロ北関係者外しが進む可能性もありそうだ。彼らに西側の理屈は通用しにくい。

その他
mohno
「Microsoftに在籍するPostgreSQL開発者」←え?「ひとつひとつのオープンソースプロジェクトのコミッターの数は少なく、彼らの疲弊はコミュニティでもたびたび議論されているが、有効な打開策はなかなか見えていない」

その他
ysync
ソースに見知らぬ公開鍵が突っ込まれてりゃ、何だこのゴミと誰かしら気付いたかもしれんだけに、tarボールにだけ仕込む巧妙さよ。

その他
TETOS
ガチでやばい

その他
puhu208n
「徹底的な身元調査を」の発想は分かるが、OSのような基幹ソフトは学術的性格があるため、開発母体が場末のPTA程度の様態になる構造的問題がある。人を置く事自体が難しく、有能な諜報機関員など追い返す余裕は無い。

その他
m10i
誰も信じれず自社フォークした野良リポジトリがもっと増えそう

その他
hecaton55
オープンソースの昔ながらの貢献ベースの組織の場合、国家や金のある組織をバックグラウンドとした長期間の潜入による工作が他国家中枢などに比べて有効なんだろう。対策は難しいと思うが...

その他
ytRino
「ナデラも褒めるレベル」しかしバイナリ更新で突っ込まれると一見わからないよなあ

その他
yarumato
"OpenSSHはliblzmaを直接使用しないが、Debianなどいくつかのディストリビューションではsystemdの通知をサポートするためにOpenSSHにパッチを適用しており、libsystemdはlzmaに依存している。"

その他
otchy210
ストーリーのプロットを見るとまるで映画だ。

その他
strawberryhunter
strawberryhunter 発覚していないのも相当数あるのではないかと思えてくる。

2024年04月03日 リンク

その他
mas-higa
ちょっと遅いくらいでよく気づいたなと思ってたけど、ベンチマーク取ってたのか。(いやだからって普通は気づけない。単体では発動しないんでしょ)

その他
hogeaegxa
hogeaegxa 別にオープンソースだからソースから発見できたというわけではないというのが重要。オプソだから安全クローズドは危険なんて単純な二元論は成り立たないという実例

2024年04月03日 リンク

その他
dozo
国家情報法の恐ろしさを見せつけられた

その他
aya_momo
見逃されているものが多そうだね。

その他
anonymighty
バックドアを仕込んだ中国人開発者が個人的にやったのか、国家が背後にいるのか。スパイ活動に余念がない国の人間が絡んだオープンソースソフトは身体検査をしておくれ。

その他
raimon49
raimon49 いち社員の知的好奇心と職人技を讃えてくれる人物がCEOやってるの強すぎるだろ。余裕のある企業が優秀な職人を余裕持たせて働かせていたからたまたま発見できた。

2024年04月03日 リンク

その他
Yasu2030
トロイの木馬は検知困難だろうと思ってたけどやっぱりそうよなぁ。 PCの情報収集して送信する場合なんか、正常なGETリクエストに情報載せられたら、検知するのかなり難しいやろ。

その他
paradoxparanoic
サイバーパンク物で気軽にハッキングしてて「そんなわけあるか」と思っていたけど現実化しそうですね

その他
keidge
keidge 先日報道された北朝鮮のIT技術者が紛れ込んでいる件も含めて、中ロ北関係者外しが進む可能性もありそうだ。彼らに西側の理屈は通用しにくい。

2024年04月03日 リンク

その他
Iridium
この話だとトラフィックが増大しないヤツは発見できないじゃんか。現状ダダ漏れでは?

その他
airj12
んー、怖い

その他
gowithyou
gowithyou Jia Tanなる人物、タイムゾーンが中国時間帯でGithubでの活動履歴から国慶節で休みをとっていることから、中国の工作機関の可能性が高い。さすがにバレたことを考えて活動時間を偽装することまでは考えていないでしょ

2024年04月03日 リンク

その他
sho
sho 奇跡としか言いようがない。この他に見逃されている、いっそう巧妙なものがたくさんあるのも間違いないわけで、頭が痛い

2024年04月03日 リンク

その他
eggplantte
この準備の周到さはあのへんの諜報活動の一環やん。他にもありそう。

その他
tomo31415926563
危ういな。AIによるソースコード安全性チェックが自動で回り続けるとかできないのだろうか。

その他
dekaino
譚さん?

その他
dpdp
"今回の騒動で驚かされたのは、主要開発者が直接、約3年もの長い時間をかけてバックドア化を図っていたという点だ。xzにバックドアを仕込んだのは、2人のxz主要開発者のうちのひとりであるJia Tanだと見られている。"

その他
morygonzalez
Jigar Kumarなる人物は元のメンテナLasse Collinを精神的に追い込んだというより、元々メンタルを病んでてレスポンスが遅かったからJia Tanをメンテナに加えろって言ったんだよね。

その他
bnckmnj
バックドアを仕込んだのは、2人のxz主要開発者のうちのひとりであるJia Tan/アメリカ人がマジで中国人を嫌いでtiktok禁止した意義がわかる話

その他
namisk
"Tanは2021年にGitHubアカウントを作成、2022年4月にメーリングリスト経由でxzのパッチを送信するが、ここで突然Jigar Kumarという謎の人物が登場し、このパッチを統合するようxz開発者のLasse Collinに圧力をかけ始めた" うわー

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「xzパッケージに仕...」が注目されています。

気持ちをシェアしよう

ツイートする

xzパッケージに仕込まれた3年がかりのバックドア、スケール直前に見つけたのはMicrosoftの開発者 | gihyo.jp

Linux Daily Topics xzパッケージに仕込まれた3年がかりのバックドア⁠⁠、スケール直前に見つけたのはMic... Linux Daily Topics xzパッケージに仕込まれた3年がかりのバックドア⁠⁠、スケール直前に見つけたのはMicrosoftの開発者 "アップストリームのxzリポジトリとxz tarballsはバックドア化されている(The upstream xz repository and the xz tarballs have been backdoored)⁠"―2024年3月29日、Microsoftに所属する開発者 Andres Freundが「Openwall.com」メーリングリストに投稿したポストは世界中のオープンソース関係者に衝撃を与えた。 backdoor in upstream xz/liblzma leading to ssh server compromise -oss-security 主要なLinuxディストリビューションにはほぼ含まれているデータ圧縮プログラ

ブックマークしたユーザー

  • techtech05212024年06月30日 techtech0521
  • kosh042024年05月04日 kosh04
  • fuyu772024年04月12日 fuyu77
  • wonder-wall2024年04月06日 wonder-wall
  • lugecy2024年04月06日 lugecy
  • midas365452024年04月05日 midas36545
  • somathor2024年04月04日 somathor
  • yug12242024年04月04日 yug1224
  • thesecret32024年04月04日 thesecret3
  • harumomo20062024年04月03日 harumomo2006
  • mieki2562024年04月03日 mieki256
  • poleight2024年04月03日 poleight
  • tokg2024年04月03日 tokg
  • lpubsppop012024年04月03日 lpubsppop01
  • kinushu2024年04月03日 kinushu
  • akishin9992024年04月03日 akishin999
  • ahir0ta2024年04月03日 ahir0ta
  • shikixyx2024年04月03日 shikixyx
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /