開源不等於安全 - ［▌▣］

開源不等於安全

或者該說更像是大教堂和市集的主張，安全性攸關眼睛的多寡，而非開源與否？

但有開源或近似的透明度，則能緩解眼睛的勞力

2025-02-11 自分のOSSのマルウェア入り偽物を作られたので通報した - 酒日記はてな支店

2025-03-07 微軟揭露大規模惡意廣告攻擊，GitHub成主要惡意軟體託管平臺 | iThome

https://www.youtube.com/watch?v=k_sG61RmXLY

2025-03-20

常見誤解

1. 個人資料會外流

錯誤，開放的是應用的原始碼，而不是其中的資料部分

2. 原始碼中的漏洞會被利用

正確，但長期來看有很多是開源更安全的例子

Android、Chromium、Linux、Log4j

柯克霍夫原則

柯克霍夫原則 - 維基百科，自由的百科全書

即使機制、演算法全都公開，只要密鑰未被洩漏，它就是安全的

藏起來反而會讓弱點變為人爲或組織部分

Coverity Scan Report Finds Open Source Software Quality Outpaces Proprietary Code for the First Time - Apr 15, 2014

開源特有的攻擊

偽裝成貢獻的攻擊

kujakujira.icon供應鏈攻擊、

2024-01-19 YouTubeでLummaの亜種を拡散する不正クラック版ソフトウェア | FortiGuard Labs

2025-02-17 GitHubのリリース機能を悪用して情報窃取型マルウェア「Lumma Stealer」を頒布する攻撃キャンペーンを確認 | トレンドマイクロ | トレンドマイクロ (JP)

2025-01-16 HP WOLF SECURITY脅威インサイトレポート　2025年1月

威脅行為者會將藏有惡意程式碼的圖片上傳至Internet Archive

但也可從此掌握整體規模

會使用作弊工具或修改程式的使用者，由於大多這類程式原本就會被附上相關標註，通常也會無視安全訊息，或是將其無效化

我們能從此學到的教訓是，作弊不只會搞砸其他人的遊戲，也帶有感染malware的危險性