惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Security Archives - TechRepublic
Security Archives - TechRepublic
Project Zero
Project Zero
K
Kaspersky official blog
G
Google Developers Blog
T
Threat Research - Cisco Blogs
T
The Blog of Author Tim Ferriss
Cyberwarzone
Cyberwarzone
Y
Y Combinator Blog
Recorded Future
Recorded Future
Blog — PlanetScale
Blog — PlanetScale
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Cisco Talos Blog
Cisco Talos Blog
Latest news
Latest news
Microsoft Security Blog
Microsoft Security Blog
H
Help Net Security
S
Schneier on Security
P
Palo Alto Networks Blog
H
Hacker News: Front Page
N
News and Events Feed by Topic
N
Netflix TechBlog - Medium
博客园 - Franky
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
SecWiki News
SecWiki News
Cloudbric
Cloudbric
TaoSecurity Blog
TaoSecurity Blog
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
The Hacker News
The Hacker News
C
Check Point Blog
L
LangChain Blog
腾讯CDC
小众软件
小众软件
T
Tenable Blog
Google DeepMind News
Google DeepMind News
GbyAI
GbyAI
L
LINUX DO - 最新话题
A
About on SuperTechFans
Google Online Security Blog
Google Online Security Blog
C
Cisco Blogs
Recent Announcements
Recent Announcements
Hacker News: Ask HN
Hacker News: Ask HN
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
Vercel News
Vercel News
雷峰网
雷峰网
美团技术团队
D
DataBreaches.Net
Martin Fowler
Martin Fowler
Help Net Security
Help Net Security
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
F
Full Disclosure
博客园_首页

博客园_首页

Linux实操--组管理、权限管理和定时任务 Java + EasyExcel 实现单个接口导出多个Excel Mem0 源码解析系列(二):提示词工程的深度剖析 Openclaw TaskFlow究竟是什么?和普通Skill技能有什么区别 博文阅读密码验证 - 博客园 嘉立创开源:应该是全网MicroPython教程最多的开发板 Hermes Agent 集成实践:从协议到生产 2026年AI编程工具横评:Cursor、Codex、Claude Code、Zed、Windsurf Java程序员必看的RAG入门教程 2026 AI效率神器:Superpowers + Claude Code 保姆级教程 本地大模型部署全攻略:从 0 到 1 玩转 Ollama 【从0到1构建一个ClaudeAgent】内存管理-上下文压缩 .NET 高级开发 | 设计、实现一个事件总线框架 电子小白入门之NE555 3. WorkBuddy:隐藏玩法,一键召唤专家,让 AI 以"专家身份"给你干活 和AI一起搞事情#3:Claude Teammate 游戏开发翻车实录 【OpenClaw】通过 Nanobot 源码学习架构---(7)Memory C# .NET 周刊|2026年3月3期 我在 Debian 11 上把 K8s 单机搭起来了,过程没你想的那么顺(/opt 目录版) 深度学习进阶(七)Data-efficient Image Transformer CLI+Skill搭建浏览器AI自动化框架,告别一切重复枯燥任务 告别Token账单无底洞:OpenClaw本地部署,重塑企业数据主权的唯一解 FastAPI+Vue:文件分片上传+秒传+断点续传,这坑我帮你踩平了! SBTI 爆火后,我做了个程序员版的 CBTI。。已开源 + 附开发过程 多模态检索开始进入工程期:用 Sentence Transformers 搭建可落地的 Multimodal RAG 100多行代码实现一个最简单的Agent(用ReAct) Claude Code 通关手册(八):推荐 5 个 Hooks,代码质量提升 3 倍 老板:“有人截图了!”。安全部门:“收到,马上查暗水印!” - why技术 技术之外,皆是人间 C#/.NET/.NET Core技术前沿周刊 | 第 69 期(2026年4.01-4.12) Snack JSONPath 项目架构分析 Claude Code Buddy 小析:一个非核心功能,如何体现产品的细节完成度 AI新时代下的图床管理方案-Cloudflare图床+MCP+Skills方案指南 化繁为简:顺丰速运App如何通过 HarmonyOS SDK实现专业级空间测量 从零实现富文本编辑器#13-React非编辑节点的内容渲染 AI开发-python-langchain框架(3-23-OpenAI Functions风格Tool Calling智能助手) .NET + AI 进阶实战:基于类的技能开发 - 打造可治理的 Agent 能力模块 【从0到1构建一个ClaudeAgent】规划与协调-技能 上周热点回顾(4.6-4.12) 电子小白的工具三件套:面包板、杜邦线、万能板 单表五亿数据的查询优化 | Mysql、StarRocks 2. WorkBuddy:从“我是谁”到“帮我干活” C# 如何减少代码运行时间:7 个实战技巧 基于HelixToolkit.SharpDX 渲染3D模型 - 笺上知微 从零开始的双臂具身VLA起源及现阶段发展综述 - SkyXZ 记对 xonsh shell 的使用, 脚本编写, 迁移及调优 - pluvium27 受够了Vibe Coding的失控?换个起点,让AI事半功倍 从开始配置漏洞环境到漏洞复现流程 - 難しい 关于10年工作经验的程序员对OpenClaw的实战经验分享以及看法 - 虚无境 Any metadata 的内存布局 C# .NET 周刊|2026年3月2期 - InCerry 我帮你测过了,测试圈排名第二的 Skill 依然很牛逼 Skill Discovery | 无监督技能发现的经典工作总结 - MoonOut PbootCMS 网站内容数量多导致访问慢?这些实用优化方案帮你提速! - 家兴网络技术工作室 上下文工程是什么?过时了么?一文讲明白! - 一枫说码 网站漏洞怎么发现并修复?一篇实用指南(附完整流程) - 家兴网络技术工作室 开了 TUN 模式还是直连?90% 的人都踩过这个坑 Github日报|2026年04月12日 - AI一族 AScript扩展多种脚本语言 - rockey627 AI 学习笔记:Agent 的记忆机制 你能被装进一个文件里吗?——7 万人把同事"蒸馏"成了 AI - 我没有三颗心脏 Claude Code 通关手册(七):给 AI 装上技能包——Skills 完全指南 - 暮色之狐 在浏览器中快速编辑代码:VSCode Web 集成实践 - Newbe36524 蒸馏自己 skill?基于 Deepseek 的蒸馏器,丐版蒸馏方式,简单便捷 - To_Carpe_Diem Spring AI Aliababa和AgentScope,哪个更好? - 苏三说技术 Etsy 把 1000 个 MySQL 分片迁进 Vitess:425TB 数据背后的真正问题不是性能,而是运维规模 MicroPython LVGL基础知识和概念:底层渲染与性能优化 - FreakStudio 数据库草图算法 Python 潮流周刊#146:CPython 引入 Rust 的进展 - 豌豆花下猫 最小生成树 - mofei1116 红日靶场七:从外网入口、容器逃逸到 AD 接管的完整利用链复盘 - YouDiscovered1t 分享四款开源且实用的 Kafka 管理工具 - 追逐时光者 vLLM 权重加载机制全解析:从挑战到理想架构 LCT 学习笔记 - ACehomoxue Avalonia UI 12.0.0 正式发布:架构演进和性能飞跃 - 张善友 当 AI Agent 把调用链拉长,延迟开始成为一门生意 conhost.exe 无法显示 U+2717 - 145a 太秀了,我把自己蒸馏成了 Skill!已开源 - 程序员鱼皮 ASP.NET Core 内存缓存实战:一篇搞懂该怎么配、怎么避坑 基于 Ghostty 带有分割标签页和为 Claude 编程设计的通知终端 - BugShare AI 焊死入口:教育的“操作系统级”重塑 - 郝hai 初级Java开发工程师使用sql脚本编写代码的过程是简单而且不糊涂 - CoderOilStation Claude Code通关手册(六):MCP协议完全指南 - 暮色之狐 边框灯光环绕动画特效实现指南 - Newbe36524 开源:子木蒸馏版的 SEO 审计工具 seo-audit-skill v1.0 我所理解的Python元模型 【从0到1构建一个ClaudeAgent】规划与协调-TodoWrite - 程序员Seven Claude 和 Codex 在审计 Skill 上性能差异探究 - ACai_sec AScript如何实现中文脚本引擎 - rockey627 【渗透测试】HTB Season10 Garfield 全过程wp - dynasty_chenzi Android 开发者为什么必须掌握 AI 能力?端侧视角下的技术变革 树状数组正确性证明 - AC-wyr 你的 AI 焦虑,可能比 AI 本身更危险——ATM 机没有消灭银行柜员,但恐慌消灭了你的判断力 - 我没有三颗心脏 一个拉胯的分库分表方案有多绝望?整个部门都在救火! - 冰河团队 动态规划入门必学之走方格问题 - Ofnoname PostgREST 与 PostgreSQL 角色权限配置全解析(生产级实践) - SheepDog1998 使用 UEFI 图形输出协议 GOP 在屏幕上显示图像的方法 - 阿源- Claude Code通关手册(五):组建你的AI专家团队,子代理系统 - 暮色之狐 一个程序员到架构师的催婚路之感悟(整整10年后的催婚相亲感悟) - MisterLip 用 Agent Skill 自动生成工作周报 - 赵康
当漏洞来了,你知道系统里用了什么吗?——SBOM 的真正价值
lunzi_fly · 2026-04-29 · via 博客园_首页

当漏洞来了,你知道系统里用了什么吗?——SBOM 的真正价值

先不讲概念,先聊个真事。

Log4j 那天晚上,我在客户现场

2021 年 12 月,我记得很清楚,那天我正在银行客户现场做交付。

下午四五点的时候,客户的安全团队突然在群里炸了:Log4j 出了一个远程代码执行漏洞,CVSS 满分 10 分,影响范围极广。

攻击方式简单到离谱——用户在输入框里敲一行 ${jndi:ldap://xxx},你的服务器就能被别人接管。不用登录,不用提权,直接 RCE。

然后接下来的事情,我估计很多人都经历过:

安全团队问开发:"我们系统里有没有用 Log4j?"

开发说:"应该有吧,我查查。"

这一查,就是好几天。

客户的核心交易系统大概有 200 多个微服务,分属不同业务线,不同时期由不同团队搭建。有的用 Spring Boot,有的用 Dubbo,有的还是老项目。每个服务的 pom.xml 里都塞了一堆依赖,谁也说不清 Log4j 到底被哪些服务直接或间接引用了。

最后怎么解决的?安全团队逼着每个服务的负责人自己去翻 pom.xml,一个一个查。折腾了将近一周,才勉强拉出一份"受影响服务清单"。

然后呢?升级 Log4j 版本,半天搞定。

找漏洞花了一周,修漏洞花了半天。

那天晚上回酒店的路上我就在想:这不对。问题不在于"怎么修",而在于"去哪找"。如果连自己系统里用了什么都不知道,谈什么安全治理?

后来我见得越多,越确信一件事——这不是某一家银行的问题,几乎所有企业都处于同样的状态:你的软件供应链,实际上是失控的。

你的代码里,大部分不是你写的

后来我做了一个统计,那个银行客户 200 多个微服务的代码仓库里,开源代码占比平均在 70% 以上,有几个老系统甚至超过 85%。

这不是个例。Synopsys 2023 年审计了 1700 多个代码库,发现 96% 的代码库包含开源组件,76% 的代码是开源代码。Veracode 的数据更狠——97% 的 Java 应用完全由开源组件构成

也就是说,你花了几百人年搭起来的系统,大部分"砖"是别人免费给的。

这本身不是问题,开源组件让软件开发效率提升了不知道多少倍。问题在于——你用了别人的东西,但你不知道你用了什么。

这就像你盖了一栋楼,用了 200 家供应商的材料,但没有任何一份材料清单。有一天有人告诉你"3 号供应商的钢筋有质量问题",你连这栋楼里哪些地方用了他家的钢筋都查不出来。

这就是所谓的"失控"。

我在项目里见过的三种"失控"场景

场景一:漏洞来了,全公司翻箱倒柜

除了 Log4j,我还经历过好几次类似的事。

有一次,安全团队通报 Fastjson 某个版本存在反序列化漏洞。我们赶紧去排查,发现系统里至少有 30 多个服务用了 Fastjson。但问题是——版本号五花八门,有 1.2.37 的,有 1.2.68 的,还有几个服务用的是 1.1.x 的老古董。

更头疼的是,有些服务不是直接引入的 Fastjson,而是通过某个二方库间接带进来的。开发自己都不知道自己用了 Fastjson。

你让开发一个个去查,效率极低,而且容易漏。漏掉一个,就是一个安全隐患。

你连"有什么"都不知道,怎么防?

场景二:问谁都不知道的"历史遗留"

还有一个场景特别常见。

系统里有个工具类,引用了一个叫 commons-collections 的 Apache 组件。这个组件的某个老版本有反序列化漏洞。我们要不要升级?升级了会不会影响现有功能?

问了三个开发,三个说法不一样:

  • 第一个说:"这个组件是我前任留下的,我也不知道为什么用这个版本。"

  • 第二个说:"升级过一次,但是测试环境跑不通,又回滚了。"

  • 第三个说:"这个类好像没什么地方在用,但不敢删。"

你看,一个组件,三个人三个态度,没有一个人能给出确定答案。最后只能先标记为"风险已知,暂不处理"——说白了就是搁置。

搁置不是解决了,是假装不存在。

场景三:你下载的开源包,可能已经不是原来的了

2024 年出了一个大事件,不知道你关注了没有。

有个叫 xz-utils 的开源项目,是几乎所有 Linux 系统都默认安装的压缩工具。有个叫 Jia Tan 的人,从 2022 年开始给这个项目提交代码补丁,表现得很积极,慢慢获得了项目的维护权限。

然后他在 2024 年发布的 5.6.0 和 5.6.1 版本里,悄悄植入了一个后门。这个后门的目标是什么?劫持几乎所有 Linux 服务器的 SSH 登录。

如果不是微软的一个工程师偶然发现 sshd 登录速度变慢了,顺藤摸瓜查到了 xz-utils 的问题,这个后门不知道会被埋多久。

这事儿细思极恐的地方在于:xz-utils 是一个有十几年历史、被全球无数系统依赖的基础设施级项目。攻击者不是从外面攻破的,而是从内部渗透进去,变成了维护者

你用的开源组件,可能已经不是原来的那个组件了。但你不知道。

你连"变没变"都感知不到,这叫什么?失控。

靠 Excel 管依赖?别逗了

说完问题,说说很多企业现在的做法。

最常见的是让开发自己报。每次引入新组件,填个表,写明组件名、版本号、用途。听起来很合理对吧?

现实是:开发忙着写业务代码,填表这件事优先级永远排在最后。报上来的信息也不靠谱——版本号写错了、间接依赖没报、升级了忘了更新记录。半年后你去看那份表,跟实际情况已经对不上了。

还有用 Excel 维护的。我见过一个客户,安全团队维护了一份巨大的 Excel 表,记录了所有系统的开源组件信息。但是——

  • 系统 A 升级了一个依赖版本,Excel 没更新

  • 系统 B 新引入了一个组件,开发忘了报

  • 系统 C 重构了,删了几个依赖,没人知道

三个月后,这份 Excel 就成了一份"历史文物"——有记录价值,但没有参考价值。

靠人的主动性和记忆去管理动态变化的依赖关系,注定管不住。

SBOM 解决了什么?首先解决一件事:让你看得见

SBOM,Software Bill of Materials,软件物料清单。

概念不复杂,说白了就是给你的软件出一份"配料表"——里面用了哪些开源组件、什么版本、从哪来的、依赖关系是什么。

但它首先解决的,是可见性的问题——让你看得见你的系统里到底有什么。

还是拿 Log4j 举例。如果每个服务在构建的时候都自动生成了一份 SBOM,存到中央仓库里,那安全团队只需要在系统里搜一下 "log4j",30 分钟内就能拉出完整的清单:

  • 哪些服务用了 Log4j

  • 用的是什么版本

  • 是直接引入的还是间接依赖带进来的

  • 每个服务的负责人是谁

不用翻 pom.xml,不用问开发,不用猜。

审计人员来检查,问:"你们系统里用了哪些开源组件?许可证合规吗?"

没有 SBOM 的时候,你得翻历史邮件、找各个团队收集信息、手动整理成表格,搞上好几天,最后还不一定全。

有了 SBOM,一键导出。什么组件、什么版本、什么许可证、谁引入的、什么时候引入的,全部有据可查。

把"不知道"变成"知道",把"查不到"变成"一键搞定"。

从这个角度看,SBOM 做的事情,本质上不是"列清单",而是把原本不可见的软件依赖,变成可以被管理的资产数据。

但我要说句实话

SBOM 解决的是"可见性"问题。

但"看得见"只是第一步。

我见过太多企业,做了 SBOM、买了扫描工具、部署了自动化流水线,觉得自己挺现代化了。但开源依赖还是管不好。为什么?

因为看得见不等于管得住

你看得见系统里有 30 个服务用了 Fastjson,但开发就是不升级,你怎么办?你看得见某个组件的 License 有风险,但业务说"这个功能下周就要上线,来不及换了",你怎么决策?

可见性是基础,但光有可见性,你的系统依然是失控的。

如果把这件事拆开,其实至少需要三层能力:

  • 第一层:可见性——你知道系统里用了什么、有什么风险

  • 第二层:控制力——你能管住团队怎么用、出了事怎么处理

  • 第三层:决策能力——你知道该不该用、用哪个、什么时候换

SBOM 解决的是第一层。但没有第一层,后面两层都无从谈起。

后面我会一篇一篇展开讲。

不做行不行?看政策

说到这里,可能有人觉得:"我们公司目前没出过事,有必要搞这个吗?"

我理解这种想法。但我想说两个事实:

  • 2021 年,美国政府发布了总统行政令 EO 14028,要求所有向联邦政府交付的软件必须提供 SBOM。这不是建议,是强制要求。

  • 中国也已经发布了 GB/T 47020《网络安全技术 软件物料清单数据格式》国家标准,中国信通院已经启动了 SBOM 国标符合性验证工作。

趋势很明确:SBOM 正在从"最好有"变成"必须有"。尤其是金融、政务这些强监管行业,早晚会面对这个要求。

与其等审计来了临时抱佛脚,不如现在就建起来。

回到那个银行项目

最后说说那个银行项目后来的变化。

我们在交付过程中帮客户建了一套 SBOM 机制:每次 CI 构建的时候自动生成物料清单,推送到中央仓库。所有服务的开源组件信息实时更新,不用人手工维护。

效果很直观:

  • 之前安全团队问"系统里有没有用 X 组件",48 小时答不上来;后来同样的查询,2 小时出结果

  • 之前合规审计准备软件成分清单,几个人搞了好几天还经常漏;后来一键导出

  • 之前新引入组件没人管,出了事找不到责任人;后来每个组件什么时候引入的、谁引入的、为什么引入,全部有记录

不是什么花哨的技术方案,就是把"看不见"的东西变得"看得见"了。

从失控,到可控的第一步。

但如果只有这一步,你的系统,依然是失控的。

很多人到这里会产生一个错觉:"我们已经做了 DevOps,CI/CD 也跑起来了,这些问题应该已经解决了。"

但现实往往正好相反。

下篇预告

下一篇聊聊:企业为什么"做了 DevOps 仍然管不好开源依赖"?