威胁类型：第三方提交恶意代码合并请求

• 威胁编号：T4-1-1
• 威胁分类：恶意篡改-开发阶段篡改
• 威胁描述：攻击者通过向开源项目提交包含恶意代码的合并请求（Pull Request），试图将恶意代码注入到项目中。

威胁案例

操作系统

• 2021年 Linux 内核恶意提交事件：明尼苏达大学研究人员向 Linux 内核提交了包含漏洞的代码，试图证明开源项目的安全漏洞。该提交被社区发现并拒绝，事件导致该大学被暂时禁止向 Linux 内核贡献代码。

编程语言运行时

• 2021年 PHP 源代码仓库恶意提交事件：攻击者冒充 PHP 创始人 Rasmus Lerdorf，向 PHP 官方 Git 仓库提交了包含后门的代码，该后门允许远程执行任意代码。该恶意提交被维护者发现并撤销，但导致 PHP 团队将代码仓库从 git.php.net 迁移到 GitHub。

解决方案

1. 代码审查

   • 实施严格的代码审查流程
   • 验证贡献者身份

2. 使用软件成分分析工具（SCA）识别依赖组件的恶意行为，及时修复风险。

参考链接

• Linux 内核恶意提交事件分析
• PHP 源代码仓库恶意提交事件报告
• GitHub 安全最佳实践