昨天,PHP 团队在自己维护 Git 服务器上的仓库中被推送了两个恶意提交。这两个提交声称是修正文字输入错误,但实际上是植入了后门以实现远程代码执行,并且攻击者伪造了签名,让人以为这些提交是由 PHP 的创始人和另外一位维护者提交的。
据分析,这次恶意活动是由于 PHP 的 Git 服务器被入侵导致的,而不是开发者个人的 Git 账户被入侵。作为此次事件后的预防措施,PHP 维护人员决定将 PHP 官方源码库迁移至 GitHub。GitHub 上的 PHP 仓库,以前只是镜像,现在将成为正规来源,从现在开始,任何代码修改都要直接推送到 GitHub 上。
很多开源软件开发组织基于传统会自己维护代码管理基础设施,但是如果没有专门的人员和力量来保证其安全,反而带来了不必要的安全风险。