讲真，大家都举起手机拍拍拍的场景雷锋网也不是没见过，在一些安全论坛上，讲者讲到精彩的干货时，也有这种场面出现。

不过，这次“拍拍拍”很特殊，因为里面的数据（还有公司名）要是漏出来，估计很多家公司都要睡不好了。

故事还得从几天前说起，雷锋网编辑参加了一场安全圈的闭门会议。

这个会议的主要促成者之一是阿里巴巴安全部的安全研究员杭特，也就是上次宅客频道采访过，觉得安全圈“攻击者”比“防守者”要多得多，这种现象不太好的那个橘色毛衣的坚守者（他已经穿了四次了）。

事先，编辑已经猜到，杭特开这次大会可能是为了“兜售”他想办的那场阿里软件供应链安全大赛。

然后，编辑看了看参与者名单：阿里巴巴、腾讯、知道创宇、某滴、京东、华为、360、中科院软件所、中科院计算所、清华……等一下，腾讯安全玄武实验室和知道创宇的代表也来了？

熟悉网络安全领域的朋友们可能知道，几个月前，腾讯玄武实验室和知道创宇帮助支付宝发现了一个大漏洞，然后阿里今年又帮助微信找到了一个超级大漏洞……

嘿嘿嘿。。。

本来以为两方会心存芥蒂，现在又本着一起促进的心共同玩耍了，这种友好的氛围还是值得点赞的。所以，雷锋网宅客频道编辑抱着这种期许，来到了会议室。

万万没想到，杭特刚介绍了几分钟软件供应链安全的定义和历史事件，然后就抛出了一个“炸弹”：

“XXXX（编者注：自己脑补是谁吧）进行了一个PIP软件仓库的实验，以前有些公司也搞过。不需要其他投入，只要一个免费的邮箱，一台能连上互联网的机器，就能对程序员进行这场网络安全的测试了。”

。。。。蛤？暴击程序员？

是的。

“普通的程序员要用一些工具去做××软件，可能会先查询一下，程序员是非常单纯的，比如，他可能要个pip install zlib，但是事实上这个东东的正经名字叫做zlib3，很多程序员敲的时候，没有意识到，就敲了zlib 开始搜索。所以，XXXX就在 python pip 源上传“恶意测试”包 zlib，总数约 20 个。然后实验者就开始等待了……”

下面是一段中招公司看了要流泪、程序员看了要心碎、所有 PR 可能要围上来堵上嘴的数据和公司名称缩写：

100天之内这场测试获得了全球X0000台主机的控制权，其中XX000台是最高权限，中招公司（名称缩写）的涵盖范围有：（出于保密不放出缩写了）正经的大公司基本不落，还有各种牛叉的国际高校和严肃机构……

（其实，现场参加的黑客大牛们都知道了公司名称和具体数字，并举起了手机拍照，但素，我们闭紧了嘴巴。。。。）

幸好，这次主导进行实验的都是正经的安全研究员，开展的是善意的网络安全测试，只记录了账户名用作统计。

但一个让人后怕的细节是，在 100 天的实验期中，他们将自己收集账户名的行为明明白白地暴露出来，没有隐藏痕迹，但直到国外有人发觉，并进行了新闻报道，有些厂商还后知后觉。

做了这么多，这个测试只是想证明一个观点：如果软件供应链源头产生污染，影响是辣么大。

编辑突然对杭特说的历史事件有了更深的感悟：

2015年， Xcode Ghost这种手机病毒通过非官方下载的 Xcode 传播，能够在开发过程中通过 CoreService 库文件进行感染，使编译出的 App 被注入第三方的代码，向指定网站上传用户数据。苹果的应用商店AppStore无法检测出病毒，因为商店审核只能确定App调用了哪些系统API。于是带毒应用顺利进入苹果官方商店，而用户则通过苹果官方商店下载到了病毒应用。

你也许长了个经验：不要从非官方渠道下载。。。

但是，2017年，国外著名的免费系统优化和隐私保护软件 CCleaner 官方版被安全人员发现含有恶意代码，会偷偷执行 Floxif 木马。

然后，你可能连官方软件都不能轻易相信了。。。

程序员可能更崩溃：我连自己辛辛苦苦写的代码都不能相信了？

所以，杭特想举办一场阿里软件供应链安全大赛，这个比赛的特点是，通过自动化软件进行供应链安全风险点检测。

我们从目标倒推说起。杭特的目标是：提升业界检测软件恶意行为的能力。

于是，他想到，这是一个参赛者涵盖了出题人和答题人的比赛，大意就是，出题人在上面搞出来一些事情，看答题人能不能检测出来，这样你强我也强，清风拂山岗。

但是，供应链的范围太广了，像大海一样，杭特并不希望，这沦为一场人肉战：人走了，这家公司可能就失去了这种能力，得把检测软件恶意行为的能力以能传承的方式积累起来。

因此，这是一场通过平台、工具的形式来比拼的比赛！

杭特还希望，这次比赛是个催化剂，他们将与优秀团队合作，让真正有能力的团队获得支持，能坚持下去，从而提升整个业界的检测能力。

比如，当天会议现场，腾讯玄武实验室的小哥哥丁川达就介绍了一个名为 “Project A'Tuin” 的供应链安全检测的实践项目。

杭特当场表示：小哥哥来参加比赛吧。

（脑补一下只是受邀做个演讲还没心理准备的丁川达的内心情感）

不过，有意思的是，杭特说：“初赛就是怎么玩都可以，让大家没有顾虑来参赛，我就看你是否具备检测特定恶意行为的能力，我们希望决赛有知识产权共享，这个共享不是说你得分享方案，而是通过这种类似于论文答辩的形式，能够向大家证明这个方案是行得通的。”

这意味着，未来如果有可能，我们居然能看到两个老对手合作的盛况，至于阿里如何和参赛方妥善商量知识产权的问题，这就是以后的故事了。

鸣谢一起举办这次“软件供应链安全”技术研讨会的InForSec

原来黑客大牛们的闭门会议也是这么的

爱拍照！