除夕之际,祝大家牛年大吉、新春快乐,给大家拜年了。本文讲述了作者通过python/nodejs/ruby三种编程语言的依赖包管理混乱,成功侵入苹果、微软等数十家高端科技企业,这是一种新型的供应链攻击,文末作者提到,产生问题的本质不是漏洞,而是三种语言的特性。sunshine君翻译此文,旨在提醒各位,未来供应链攻击会更加危害严重、实施普遍、作用明显。 从我开始学习编程以来,我一直对使用这样一个简单的命令而好奇: pip install package_name 一些编程语言(例如Python)带有一种简单的、看起来正式的方法来为项目安装依赖包。这些安装程序通常与公共代码存储库绑定,任何人都可以自由上传代码包供他人使用。您可能已经听说过这些工具:如Node具有npm
………………………………