今天以及未来一段时间网络安全的焦点话题应该都是开源软件 xz 被植入后门事件。

整个事情还是比较复杂的，我尽量说简单一点：一个自称 Jia Tan 的开发者，向开源软件 xz 加入了一个后门。该后门可以让攻击者无需有效账号也可以从 SSHD 访问系统。目前已知最新的 v5.6.0 和 v5.6.1 两个版本中都存在该后门。

由于发现的还算及时，目前只有类似 Debian sid、Fedora Rawhide、openSUSE Tumbleweed 这样比较追新的发行版分支受到了该后门的影响。然而，如果该后门没有被及时发现，当存在后门的 xz 被广泛引入各 Linux 发行版后，掌握后门的人就可以轻易入侵这些 Linux 系统。

对一般用户来说，面对来自供应链的后门威胁，唯一防御方式就是除非有严重漏洞，否则别随便升级。我在 2019 年就说过了：Otombkeeper

从技术角度看，这个后门加的不算很漂亮。这也是为什么很快被发现。其实如果构造一个巧妙的漏洞来达成同样目的，是没那么容易被发现的。即便被发现，也不容易被认为是故意引入的后门。

理论上，这可能是 Jia Tan 本人干的，当然也可能是他的账号被盗用了。但不管怎么样，一个看起来像中国人的名字卷入了开源软件后门事件，可能会给中国人参与开源工作带来麻烦。

这件事也可能成为美国对付中国的工具。去年美国参议院情报委员会主席马克·沃纳就曾表示担心美国的出口管制法无法应对开源软件的挑战。那么，利用这件事打击中国在开源社区的影响力似乎就是顺理成章会发生的事。