SolarWinds 攻击至少需要有 1000 位工程师

这场长达数月的，可能影响了多达 1.8 万家美国政府机构和网络安全厂商的黑客攻击活动，是通过在 SolarWinds 的 Orion 网络管理软件内植入木马进行的软件供应链攻击。

微软总裁布拉德•史密斯在访谈中谈到，“我认为从软件工程的角度来看，可能可以说这是世界上有史以来规模最大、最复杂的攻击”。微软也是这次攻击的受害者之一，为了调查这次攻击，微软指派了 500 名工程师参与了调查。史密斯认为，“当我们分析在微软看到的一切时，我们问自己大概有多少工程师参与过这些攻击。而我们得出的答案是，肯定超过 1000 人。”

据悉，攻击者只在 Orion 内重写了 4032 行代码，而 Orion 由数百万行代码组成。

我认为，这么大规模、处心积虑的攻击行为，背后没有一个严密的组织是不可能的，不过这个规模还是令人吃惊的。

开源 Web 扩展项目中的恶意程序问题

一些广为流传的 Chrome 开源扩展在变更了控制权之后，变成了恶意软件。这包括 The Great Suspender 的所有权在去年 10 月转移给一个未公开身份的人之后，推送了恶意更新，它会下载和执行第三方 JavaScript 脚本，并关闭了自动更新机制，这意味着即使恶意代码移除现有用户仍然会继续使用恶意版本。谷歌最近决定强制移除该恶意扩展。

这样的事情并不鲜见，还包括 uBlock 转移所有权之后，被新的维护者用来牟利和让广告商付费免除屏蔽；Nano Adblocker 和 Nano Defender 也在转移后变成了恶意扩展。

用户往往不会注意也不会得到开源的扩展应用所有权转移的通知，这就为使用开源扩展带来了潜在的风险。因为，谷歌并不会对这些扩展进行事先的人工审查，而用户基于之前的口碑也往往在受到侵害后才可能发现问题。

我认为，这个问题需要得到重视，作为托管这些扩展的谷歌商店，应该建立相应的机制，最起码可以做到明确提醒所有权变更，或对刻意的更新进行更严格的审查。

谷歌在称赞其 Stadia 工作室一周后，关闭了它

谷歌在 2 月 1 日出人意料地宣布，将关闭 Stadia 游戏开发工作室。但这一消息不仅仅是对 Stadia 客户的惊吓，对于 Stadia 开发团队来说更是晴天霹雳。据报道，就在一周前，Stadia 开发团队还被告知，工作室正在取得“巨大的进步”。

据报道，谷歌副总裁、Stadia 总经理哈里森承认，当他发邮件赞扬团队的进展时，谷歌的高管们已经知道关闭的消息了。

我认为，这也太儿戏了，这些领导人说的话都是官样文章，你相信就天真了。