XZ Utils: бэкдор, который заставил перекреститься даже самых хладнокровных DevOps

Вы когда-нибудь задумывались, что будет, если в критически важную библиотеку для сжатия данных засунут бэкдор, да так искусно, что даже код-ревьюеры прозевают? Именно это и случилось с XZ Utils — и теперь у нас есть отличная лекция от Columbia Engineering, которая разбирает этот инцидент по косточкам.

Лекция — это гостевая лекция по продвинутому системному программированию, где эксперты шаг за шагом проходят по цепочке атаки. Вы узнаете, как злоумышленник внедрил вредоносный код в процесс сборки, используя сложные обфускации и манипуляции с тестами производительности. Это похоже на детектив, где каждый коммит — улика, а каждый CI-билд — потенциальная западня.

Особый интерес представляет техника "обратной совместимости": бэкдор был спрятан так, что проявлялся только при определённых условиях, оставаясь невидимым для обычных проверок. Разработчикам, которые когда-либо отлаживали баги в сборке, будет особенно больно — представьте, что ошибка оказалась зловредом, а вы искали её три ночи.

Комментарий студии METABYTE: Лекция — must-watch для всех, кто отвечает за безопасность пайплайнов. У нас в METABYTE после такого хочется перепроверить каждую зависимость — даже ту, что кажется безобидной. Спойлер: бэкдоры не спят, но мы теперь знаем, где искать.