施耐尔安全

克莱夫·罗宾逊•2024年4月18日上午11:47

@所有人Mark Wolfgang，

回复：一段旅程经过目的地的危险。

“项目创始人/dec凭借其爱好项目的可信度获得了理想的工作，现在没有时间维持。”

问题通常在那之前开始…

想象一下，在一次公交车上，乘客们上车后决定乘公交车去他们想去的地方。不是预定的旅行目的地。

混乱确保了公交车在地图上蜿蜒而行，没有乘客感到高兴，公交车司机为了让他们高兴而发疯。

对许多开源软件项目来说是这样的。像公交车这样的项目不可能满足乘客的需求。

你会注意到，成功的项目是司机坚持路线和时间表，乘客可以随时上下车。如果乘客们认为会有更好的公交车出现，他们可以“步行或等待”…

否则，他们会“坐以待毙”，可以坐在那里保持安静。

如果乘客不想“步行或等待”，那么昂贵的选择从“付费”开始，比如租车或司机服务，甚至买一辆车并付费给司机，可能是唯一可用的选择。但他们几乎从不想付款…

因此，我们认为“专制项目”或“温和独裁者”是“光荣的领导者”。

但它永远不会持续下去，总有人会出现，声称每个人都应该“平等”——只有一些人认为他们“比其他人更平等”，因为他们要求要求，不给予赞扬，认为每个人都应该赞扬他们等等。

因此，当司机决定以某种方式下车时，项目会“越过悬崖”或类似情况。

至于那些认为自己“比别人更平等”的人，他们通常都没有技能或其他有用的属性。

因此，该项目成为孤儿或被遗弃，就像过去的孩子一样，容易受到各种形式的虐待，或者实际上死于忽视。

克莱夫·罗宾逊•2024年4月18日12:52 PM

@布鲁斯，所有人，

回复：这不是一条供应链。

我们在ICT行业的思维中有点陷入了陷阱，而且这种情况每年都会重复发生多次。

这是为了“方便”，我们从“有形的物理世界”中提取一个术语，并在“无形的信息世界”中重复使用该术语。

事实上，它很少能令人满意，而且我们会提出一些我们真的不应该这样做的假设。

正如我在前面的“XZ实用程序”讨论中指出的那样，

“这不是供应链攻击”

因为它实际上不是传统意义上的“供应链”，而且攻击也不会发生在那里。

在传统意义上，“仓库中的成品”是“供应链”的起点，最终由客户在其“进货”“码头”签收。因此，最初的NSA“供应链攻击”实际上是通过“植入物”在“有形物理世界”“供应链”中进行的。在运输节点抓取箱子，将其带到安全/保密场所并打开，取出箱子打开，插入子组件，关闭箱子，放回原始箱子，巧妙地重新密封，并放回同一运输节点的供应链中……”。

现代自由和开放源码软件和类似软件的性质更像是从“材料清单”中购买制造产品，以便在“客户场所”有效地制造/组装成“成品”。

攻击实际上并不发生在“供应链”中，而是先从BOM中的零件构造开始，然后在客户场所内完成，最后从BOM中列出的零件组装/构造项目。

BOM不是“供应链”，而是“供应商零件清单”。事实上，这只是“制造供应树”的一部分。

也就是说，数百个零部件来自多个地方，它们被构造成许多子组件，而这些子组件又从多个地方采购，从而形成更大的子组件、子系统或最终系统。通过多个装配点的大量供应链看起来像是一棵树的根。

因此，“供应树”。需要注意两件重要的事情，

1、子组件是“独立的”
2、独立子组件可以而且确实具有共享的标准组件。

这将“树”根的概念转变为更多的“漏斗状”。

那些见过真正漏斗状蜘蛛的人都知道，它们的大小可能非常巨大，而“有毒蜘蛛”可能会出现在网络中的任何地方，只是在等待。