Apifox 供应链投毒事件有感:普通开发者后续到底该怎么防?
- 内容介绍
- 文章标签
- 相关推荐
这两天我自己排查了一轮 Apifox 这次供应链投毒事件,越排查越后怕。
最难受的点其实不是“有没有中招”本身,而是这类问题一旦发生,向我这种普通开发者真的会很被动。因为你信任的软件、正常安装的软件,结果自己带毒了。等你发现的时候,最担心的已经不是软件本身,而是本机上的各种信息有没有被读走,比如:
• Apifox 账号信息
• 机器指纹、主机名、MAC 地址这类信息
• shell history
• Git / npm / SSH / 云平台相关凭证
• 服务器登录密码、管理后台密码等
我自己这次已经做了一轮排查和清理,也把本地残留、history 之类都处理了一遍,但说实话,这种事情还是让我有点后怕。
所以我现在特别想认真请教大家一个问题:
站在普通开发者 / 独立开发者 / 小团队开发的角度,后续到底应该怎么尽可能避免这类问题?
我目前想到的方向有这些,但不确定是不是最优解:
1. mac 上装更强的出站防火墙,比如 Little Snitch / LuLu,重点监控软件偷偷外连
2. 凭证尽量不明文落盘,比如 Git 走 Keychain,不在本地存 .git-credentials
3. 服务器尽量别再用 root + 密码直登,改成普通账号 + sudo,最好限制 SSH 来源 IP
4. 尽量减少本机存放高价值凭证,比如 SSH 私钥、云平台密钥、各种 token
但是总感觉还是有风险,所以想请各位佬帮忙分享一下:
• 你们平时是怎么防这种“正常软件被投毒”的?
• mac/windows 上有没有真正实用的安全工具推荐?
• 小团队有没有成本不高、但效果不错的安全方案?
• 除了杀毒 / 防火墙 / 凭证管理之外,还有哪些我没想到的习惯或流程?
--【壹】--:
感谢佬回复的这么详细。
这两天我自己排查了一轮 Apifox 这次供应链投毒事件,越排查越后怕。
最难受的点其实不是“有没有中招”本身,而是这类问题一旦发生,向我这种普通开发者真的会很被动。因为你信任的软件、正常安装的软件,结果自己带毒了。等你发现的时候,最担心的已经不是软件本身,而是本机上的各种信息有没有被读走,比如:
• Apifox 账号信息
• 机器指纹、主机名、MAC 地址这类信息
• shell history
• Git / npm / SSH / 云平台相关凭证
• 服务器登录密码、管理后台密码等
我自己这次已经做了一轮排查和清理,也把本地残留、history 之类都处理了一遍,但说实话,这种事情还是让我有点后怕。
所以我现在特别想认真请教大家一个问题:
站在普通开发者 / 独立开发者 / 小团队开发的角度,后续到底应该怎么尽可能避免这类问题?
我目前想到的方向有这些,但不确定是不是最优解:
1. mac 上装更强的出站防火墙,比如 Little Snitch / LuLu,重点监控软件偷偷外连
2. 凭证尽量不明文落盘,比如 Git 走 Keychain,不在本地存 .git-credentials
3. 服务器尽量别再用 root + 密码直登,改成普通账号 + sudo,最好限制 SSH 来源 IP
4. 尽量减少本机存放高价值凭证,比如 SSH 私钥、云平台密钥、各种 token
但是总感觉还是有风险,所以想请各位佬帮忙分享一下:
• 你们平时是怎么防这种“正常软件被投毒”的?
• mac/windows 上有没有真正实用的安全工具推荐?
• 小团队有没有成本不高、但效果不错的安全方案?
• 除了杀毒 / 防火墙 / 凭证管理之外,还有哪些我没想到的习惯或流程?
--【壹】--:
感谢佬回复的这么详细。