为了立即澄清,我不想写后门。我对自己向项目提交后门变更单没有兴趣。
我正在研究一些源代码建模技术,我们感兴趣的是看看是否可以识别漏洞或恶意代码。我们使用git和subversion历史来检查模型快照如何捕获代码之间的关系。有一个问题是,在这样的环境中,某些类型的代码是否显示为异常值。
考虑到这一点,我很难找到git/cvs/?开放源代码存储库,其中包含一个后门的变更列表示例,已提交并将显示在日志中。
我们正在查看proftpd as an early example,但此漏洞未签入,而是修改了其他版本的代码。
在一个开源项目的修订历史中有没有尝试插入后门代码的例子?
谢谢,
斯科特
最佳答案
https://freedom-to-tinker.com/blog/felten/linux-backdoor-attempt-thwarted
也有人试图破坏源代码库来注入新代码,但是版本控制系统认为它已经存在了一段时间(因此是可信的)。git的一个要求是它在每次新签入时都对存储库进行强加密检查。