关于 xz 后门
·2 分钟阅读
2024 年 3 月 29 日 UTC 时间 18:07,核心团队了解到最近披露的 xz 后门,现在标记为 CVE-2024-3094。
据我们所知,conda-forge 的 xz 组件未受影响。
我们的回应
我们立即检查了我们的频道中发布了哪些 xz 组件
- 我们最新的
xz构建(配方源可在xz-feedstock中找到)版本为5.2.9,上传于 2022-12-08。请参阅 anaconda.org 中的组件。 xz的后门版本属于5.6.x系列。
我们正在监控情况发展,如有需要,将据此更新此公告。
结束语
我们 conda-forge 核心开发团队,感谢大家在我们应对上述各种安全事件和错误时给予的耐心和支持。毋庸置疑,conda-forge 基础设施的公共性质带来了风险。另一方面,由于是公共的,任何人都可以查看和验证我们的组件构建。conda-forge 的安全在于降低风险,我们将继续尽力而为。
提醒一下,我们不建议您在包含敏感信息的环境中使用 conda-forge。conda-forge 的软件由我们的用户构建,核心开发团队无法验证或保证此软件不是恶意的或未被篡改。
我们在 conda-forge 中抵御安全事件的最佳防线是您!我们的 feedstock 维护者最有可能注意到事件和问题。请负责任地将您发现的任何问题报告给我们,地址为 [email protected] 或使用我们的安全策略中描述的流程。