Apifox 自己文件服务被入侵了，为什么说遭供应链攻击？还是理解有问题？

不重要，反正我没用，始终对国产的软件不会信任

@Gilfoyle26 最近连着出事，飞牛 NAS 远程漏洞、美团删用户图片、天津超算数据外泄、Apifox 的 js 文件被黑。。。信任不容易啊

关键是，3.4 的问题，3.25 才发，还不是给账号发邮件、发短信，只是自己网站一个公告，傻逼。

好久没用过了. 前天到今天才刚强度的用了下. 应该没坑到..

@Jack927 #3 更关键的是，飞牛也是问题爆发了才扭扭捏捏发个公告，然后大家就当没有发生任何事继续用。所以后面这些公司就跟着学呗

我司一个全球软件版本至少一个月才能发出去，期间要经历 N 种安全软件扫描，人工代码 review 开源依赖扫描和法务开源审核，曾经因为上游 cve 一直不更新，硬生生被逼重新实现几万行的逻辑，同事每天吐槽流程。但是这种时候想想，也许还是有点用的...

这玩意失啥 听都没听过

是的

这种安全态度注定做不大

你理解的没有问题

这个和供应链完全没有关系，就是内鬼或者 apifox 内部服务器被攻破

apifox 自称供应链攻击完全就是推卸责任

https://v2ex.com/t/1201146?p=2#r_17456652

另外按照这个逻辑，上次 B 站前端员工植入恶意代码报复用户 也可以称为供应链攻击

https://v2ex.com/t/1106028

我看到的比较早的说法是「 Apifox 供应链投毒攻击」，不是 **被** 供应链投毒。Apifox 本身就是开发工具，它自己是工具链。

反正这个软件一辈子不会出现在我的电脑上了

如果团队用，我也会极力反对。

满嘴谎话就算了，短信通知也没有

@lisongeee #10 完全认同，明明是自己的 cdn 服务器被 hack 了，还宣称供应链投毒，好像自己被开源社区坑了一样。xz backdoor 和 ultralytics 那个事才是真正的供应链投毒。

@AS4694lAS4808 #6 真羡慕有这流程

不排除为了盈利一波自己操作的

供应链攻击 (Supply chain attack) 是一个定义宽泛且未能达成共识的术语。
这个定义最宽泛的解释是一切非直接攻击都可以称作供应链攻击，因此世界上绝大多数成功的网络攻击都可以算是供应链攻击。稍微严格的解释是受信任的上游被攻破、植入后门，造成难以发现的下游打击。
它暗示厂商本身也是受害者，常用于甩锅大会，但厂商不能由于自己服务器被攻破了，然后声称自己受到了供应链攻击，受到攻击的是用户，厂商是跳板。
例如 2013 年的 Target 泄密事件，黑客攻击 Target 的上游 Fazio 窃取到凭证，横向移动盗走 Target 几千万张信用卡信息，Target 在这次事件中和被偷走信息的用户都是受害者，他们遭受到了供应链攻击。至于 Target 内部安全措施和管理一坨屎是另一回事。
2020 年的 SolarWinds 事件，Orion 的构建服务被黑，这里遭受到供应链攻击的是使用了 Origin 的倒霉蛋。对于此次事件 SolarWinds 甩锅给了外国政府。但无论怎么说，这还是自身服务被直接攻破了的原因。

如果 Apifox 要声称自己遭到供应链攻击，那只能是七牛云投的毒。
我更倾向于是某个开发或者管理人员的凭证被偷了，或者有内部人员勾结黑产。

我一直很纳闷 为啥要加载第三方 js 很多时候 加载一堆 js 可能都不如一张图片大 整这玩意意义何在

@AS4694lAS4808 #6 羡慕这样的软件开发商，对用户负责。

@lisongeee #10 完全认同, 感觉如果不这么说, 当时内部大力推 AI 的高层会被吊.

@fstab @SilentOrFight 用户是比较安全，但是作为开发头都要秃了