HardenedLinux 写道 "近几年的各种后门疑云的背景下，硬件供应链是一个令人关注的话题，信息安全最大的宿敌之一就是复杂性，而如何驯服这只野兽需要足够的耐性的知识去构建适当的方法论，受到硬件黑客Andrew Bunnie Huang的著作《硬件黑客的复仇：大规模廉价制造之华强北风云录》的启发，HardenedLinux社区近期就硬件设计和制造过程中所涉及的基本流程进行了一次小测试，即cheap-pcb项目，EDA工具使用的是自由软件实现Kicad完成了一款引出的绝大部分IO和USB的基于廉价STM32的开发板，具有串口编程电路，SPI读写测试基于stm32-vserprog完成，对于器件，尺寸，厂家在设计阶段和生产阶段的选型和兼容性问题都有详细的记录和总结，如果一款量产后的成本低于10美金的硬件都会经历诸多流程以及几十甚至上百种器件的搭配和组合，那针对x86工作站或者服务器级别的硬件制作一个类似固件领域的黄金镜像将是一件非常具备挑战性的工作。"

一位安全研究员设法利用一种新颖的软件供应链攻击入侵了 35 家大型科技公司的内部系统，这些公司包括了 Microsoft、Apple、PayPal、Shopify、Netflix、Yelp、Tesla 和 Uber。这次攻击利用了开源生态系统的一个设计缺陷：依赖关系混乱。Alex Birsan 注意到 PayPal 使用的一个程序包含了非公开的私有 npm 包，他想知道如果他创建一个同名的公开的 npm 包，那么软件在构建时是优先使用私有的还是公开的版本？为了测试这一假说，他向流行的软件包库 npm、PyPI 和 RubyGems 上传了同名的冒牌项目，每个项目都包括了相同的说明，解释软件包不包含任何有用的代码，只是用于安全研究目的。他发现，公开的软件包会比私有的软件包优先度更高；某些情况下版本更高的软件包优先度更高，无论私有还是公开。利用这一方法，他成功入侵了多家知名科技公司，获得了超过 13 万美元的漏洞报告奖励。