当一家安全公司承认自己的源码被入侵,这从来不是单一漏洞的意外,而是整个软件供应链的系统性警报。Trellix的这次事件,恰好暴露了安全行业最尴尬的悖论——造锁的人,门锁却被撬了。
根据Trellix的公开确认,攻击者获取了"部分"源代码,公司已启动数字取证并通报执法部门。但"部分"二字背后藏着更大的隐患:检测逻辑、关联规则、构建脚本、内部API,甚至架构层面的信任边界假设,都可能被窥探。
这不是孤例。Checkmarx的私有GitHub仓库曾被LAPSUS$团伙窃取并公开;ADT因一个被钓鱼的Okta SSO账户,导致550万客户数据泄露;Vimeo则栽在第三方分析服务商的漏洞上。攻击路径高度相似:先攻破身份与SaaS,再横向渗透进CI/CD,最后拿走代码和数据——整个过程往往只需数小时。
为什么安全厂商的源码特别值钱?因为这里面写着"怎么抓坏人"的完整攻略。检测引擎的签名规则、启发式阈值、甚至开发者注释里标注的"已知但未修复"的漏洞,都成了攻击者的作战地图。拿到这些,就能系统性绕过防护、长期潜伏调优。
一个200人规模的安全初创公司曾做过红队演练:单个SSO账户被控后,攻击者在几小时内拿到GitHub权限,克隆完整代码库,窃取CI环境变量,还发现了一个被遗忘的云管理员令牌。真正的告警,直到大规模数据外泄时才触发。
防御视角下,软件供应链的暴露面横跨开发者终端、浏览器、SSO身份提供商、代码托管平台、CI/CD构建节点、制品仓库和部署系统。更紧迫的是,攻击者正利用AI加速漏洞挖掘和 exploit 开发,配置失误与主动利用之间的时间窗口被急剧压缩。
Trellix事件是一面镜子:当安全厂商自身的CI/CD和源码管理都脆弱不堪,客户凭什么相信他们的产品能守住更复杂的攻击面?重建信任,需要从供应链的每一个节点重新设计——而不仅仅是事后取证。
热门跟贴