开源项目警惕被“社工”渗透，否则后门不保！

近期开源圈 xz Utils 安全事件让业内震惊，当前幕后黑手仍然没有查明。简单来说，xz Utils 入侵者在潜伏两三年时间中，通过社会工程的方式，先获得了项目的高级权限，进而执行一系列错综复杂的操作。（完整攻击时间线查看：https://www.oschina.net/news/286008/xz-timeline）可以看到，在这个过程中，入侵者首先急于实现的是提权，这个门槛是较大的，所以可以看到他们在开源项目中一边用真实的代码贡献去付出，一边以此为 “筹码”，将自己在项目中的身份提高，同时不断变着法一而再再而三去催促要接管项目权限。这样的事情其实在开源项目中并不是孤例，这两天 OpenSSF 和 OpenJS 基金会也呼吁所有开源维护者对这样的社会工程渗透接管模式保持警惕，识别早期出现的威胁模式，并采取措施保护开源项目。OpenJS 基金会跨项目委员会收到了一系列可疑的电 ………………………………