Западные СМИ снова прикололись в своём репертуаре: The Register опубликовал материал с заголовком “Путин в коде: минобороны США, по сообщениям, полагается на утилиту от разработчика из России, работающего в "Яндексе"”.
Даёшь хайп, хейт, охоту на ведьм!
Только вот есть одна проблема: так выглядит половина всего open source на планете.
Немного цифр, чтобы не быть голословными
Каталог ecosyste.ms отслеживает 11,8 млн open source проектов. Из них 7 миллионов — это один человек. Один. Без команды, без корпоративного бюджета, часто без нормальной благодарности.
Думаете, это какие-то заброшенные поделки? Нет.
Берём NPM — самую богатую экосистему по данным. Смотрим библиотеки и пакеты с более чем 1 миллионом скачиваний в месяц. Результат: примерно 50/50 — половина из 13 000 самых популярных пакетов поддерживается одним человеком.
Harvard посчитал, что open source стоит мировой экономике $8,8 триллиона. Восемь целых восемь десятых триллионов долларов. И значительная часть этого держится на одном единственном парне с ноутбуком, который пишет код после работы.
А теперь про «русский след»
Настоящие атаки на supply chain — это не “Борис из Москвы выложил пакет с нехорошим кодом”. Это история с XZ/backdoor*, где атакующий годами строил фиктивную личность под другой страной. Профессионалы не оставляют очевидных следов. Журналисты, видимо, об этом не знают (привет глупым хаброненавистникам, которые клюнули на наживку про МАХ и заминусили нам акк).
Реальная угроза вашей цепочке поставок — один перегруженный и недооплачиваемый человек, которому некому передать проект и не на что существовать.
Что с этим делать?
Честного ответа пока нет. Но начать можно с очевидного: перестать делать из таких людей “козлов отпущения” и начать разговор о том, как индустрия, зарабатывающая триллионы, относится к тем, кто её держит.
Мы в Профессиональном Союзе Русских Программистов считаем, что защита прав разработчиков — это не абстракция. Это конкретная работа (работодателя, государства, сообществ, самих разработчиков!). И она начинается с того, чтобы называть вещи своими именами.
Если ты понимаешь разницу между beta и stable — пора чекнуть МАКС.
*XZ/backdoor — это один из самых резонансных инцидентов в истории open source безопасности, обнаруженный в марте 2024 года.
Что такое XZ Utils? Это широко используемая утилита сжатия данных (формат .xz), которая присутствует практически в каждом дистрибутиве Linux. Очень низкоуровневая, очень распространённая — идеальная цель.
Что произошло? На протяжении примерно двух лет некий злоумышленник под ником Jia Tan (JiaT75) методично втирался в доверие к проекту: присылал качественные патчи, помогал с issues, постепенно наращивал права в репозитории. Параллельно с других аккаунтов оказывалось давление на основного мейнтейнера (Лассе Коллина) — мол, тебе нужна помощь, ты не справляешься. В итоге Jia Tan получил права на релизы.
Сам бэкдор был спрятан не в коде на GitHub, а в тарболле (архиве релиза) — то есть в том, что реально скачивают дистрибутивы. Он вмешивался в работу systemd/sshd и теоретически позволял удалённо выполнять код на затронутых системах с обходом аутентификации SSH.
Кто нашёл? Андрес Фройнд — инженер Microsoft, который заметил, что SSH на его тестовой машине стал работать на ~500 мс медленнее. Случайно. Буквально случайно спас половину серверной инфраструктуры планеты.
Почему это важно в контексте статьи? Атакующий не был «Борисом из России» — личность Jia Tan до сих пор точно не установлена. Это и есть реальная атака на supply chain: терпеливая, многолетняя, через доверие, а не через очевидную принадлежность к какой-то стране.
🔥Проф.союз РП в TG » VK » Dzen, чтобы быть на связи!
😐Поднять карму в хабр, пониженную противниками русских программистов, можно тут.
😑Пишите свои статьи для публикации или заходите на частные- и бизнес-консультации 👉 сюда.
