2026 年 FOSDEM 演讲:幽灵二进制依赖威胁技术基建,如何破局?

张开发
2026/4/19 17:57:32 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

2026 年 FOSDEM 演讲:幽灵二进制依赖威胁技术基建,如何破局?
二进制依赖演讲信息2026 年 1 月 31 日在 FOSDEM 2026 上发表了一场关于“幽灵二进制依赖”的演讲。所谓“幽灵二进制依赖”指的是以二进制形式依赖的包这些依赖关系不可见。若无法可靠识别这些幽灵依赖技术基础设施的可持续性和安全性将面临风险威胁医院、交通和互联网等关键服务。可在本页面观看演讲还能查看更多详细信息和相关资源列表。同时可查看演讲信息和幻灯片。幽灵二进制依赖概述创建软件包时工作可能依赖其他包通常依赖其源代码但有时会依赖预编译二进制文件从其他编程语言调用编译代码时常见。在几乎所有生态系统中跟踪二进制依赖困难。依赖包的源代码时通常会记录在清单文件中依赖预编译二进制文件时信息通常不记录项目与依赖之间的二进制依赖关系隐藏即“幽灵二进制依赖”。关于二进制依赖如何工作的详细技术信息可在题为“不同语言中的二进制依赖如何工作”的文章中找到。幽灵二进制依赖的重要性幽灵二进制依赖重要至少有两个原因。一是可持续性开源可持续性危机使 Keystone 的维护者难获报酬易受倦怠影响。Open Source Pledge、Open Source Endowment 和 thanks.dev 等项目帮助维护者获得报酬但需知道依赖哪些维护者才能付费。若无法识别二进制依赖就无法确定支持哪些维护者会使开源生态系统的可持续性面临风险威胁全球技术基础设施。二是安全性项目依赖的库存在安全问题会使项目易受攻击。若不清楚依赖哪些库就无法清楚可能影响的安全漏洞使项目面临风险。对于支持关键基础设施的软件这种漏洞会使公众面临伤害风险。解决方案与相关资源可构建工具并对包管理生态系统进行系统性改变来纠正问题演讲中勾勒出解决方案雏形。应首先创建识别和记录各种包的二进制依赖的工具为相关方提供信息找出更可靠的解决方案。有了这些信息可着手解决其他方面问题如确保二进制依赖从合适的包管理器获取确保语言包管理器和系统包管理器协同工作发出安全问题警告。还提供了一些相关资源如 bindep 仓库、Open Source Pledge、Andrew Nesbitt 的文章、Anand Sawant 的文章、_auditwheel_ 及其相关问题、_elfdeps_、PEP 770、PEP 725、PEP 804、ecosyste.ms 的相关问题、_ESSTRA_、_Fromager_、UAPI 规范 8 和 12、Xu 等人的论文、_PURL 注册表_、Luca Forstner 的文章等。

更多文章