一篇文章轻松搞定《xz计划读后感》的写作。（精选5篇）

更新日期:2025-05-30 09:56

写作核心提示：

写一篇关于《xz计划》读后感的作文，需要注意以下事项：
1. 确定主题：首先，明确自己的读后感主题，是围绕书中的某个情节、人物、主题或者整体评价展开。
2. 概述内容：简要介绍《xz计划》的基本情况，如作者、出版时间、故事背景等，让读者对书籍有一个初步的了解。
3. 分析评价：从多个角度对《xz计划》进行分析和评价，如情节、人物、主题、写作手法等。以下是一些可以参考的方面：
a. 情节：分析故事情节的合理性、连贯性、紧张程度等。
b. 人物：评价主要人物的性格特点、成长历程、心理变化等。
c. 主题：探讨作品所表达的主题思想，如人性、社会、历史等。
d. 写作手法：分析作者在写作过程中所运用的手法，如象征、对比、讽刺等。
4. 结合自身感受：在评价过程中，融入自己的阅读体验和感受，使文章更具个性化和真实感。
5. 结构安排：合理安排文章结构，使文章层次分明、条理清晰。以下是一个简单的结构安排：
a. 引言：简要介绍书籍背景和自己的读后感主题。
b. 主体部分：分别从情节、人物、主题、写作手法等方面进行分析和评价。
c. 结尾：总结全文，再次

XZ开源攻击时间线

在两年多的时间里，一位化名“Jia Tan”的攻击者一直作为 xz 压缩库的勤奋、高效的贡献者，最终获得了提交访问权限和维护权限。利用该权限，他们在 liblzma 中安装了一个非常微妙、精心隐藏的后门，而 liblzma 是 xz 的一部分，恰好也是 Debian、Ubuntu、Fedora 和其他基于 systemd 的 Linux 系统上的 OpenSSH sshd 的依赖项。该后门会监视攻击者在 SSH 会话开始时发送的隐藏命令，从而使攻击者能够在目标系统上运行任意命令，而无需登录：未经身份验证的、有针对性的远程代码执行。

译自 Timeline of the xz open source attack Posted on Monday, April 1, 2024.，作者 Russ Cox。

该攻击于 2024 年 3 月 29 日公开披露，似乎是针对广泛使用的开源软件的首次已知严重供应链攻击。无论好坏，它标志着开源供应链安全的一个分水岭时刻。

这篇文章是我构建的攻击社会工程方面的详细时间线，该攻击似乎可以追溯到 2021 年底。关键事件以粗体时间表示。

欢迎在 Bluesky、Mastodon 或邮件上联系。

序幕

2005-2008 年：Lasse Collin 在他人的帮助下，使用 LZMA 压缩算法设计了 .xz 文件格式，该算法将文件压缩到 gzip 的约 70% 。随着时间的推移，此格式被广泛用于压缩 tar 文件、Linux 内核映像和许多其他用途。

Jia Tan 携配角登场

2021-10-29：Jia Tan 向 xz-devel 邮件列表发送了 第一个无害补丁，添加了 “.editorconfig” 文件。

2021-11-29：Jia Tan 向 xz-devel 邮件列表发送了 第二个无害补丁，修复了一个明显的可重现构建问题。更多看似（即使在回顾中）不错的补丁随之而来。

2022-04-19：Jia Tan 向 xz-devel 邮件列表发送了 另一个无害补丁。

2022-04-22：“Jigar Kumar”发送了 几封电子邮件中的第一封，抱怨 Jia Tan 的补丁没有落地。（“补丁在这个邮件列表上花费了数年。没有理由认为很快就会有什么结果。”）此时，Lasse Collin 已经接受了Jia Tan的四个补丁，在提交消息中标有“感谢 Jia Tan”。

2022-05-19：“Dennis Ens”向 xz-devel 发送邮件，询问是否维护 XZ for Java。

2022-05-19：Lasse Collin 回复，为速度慢道歉，并补充说“Jia Tan 在 XZ Utils 中帮助了我，他将来可能在 XZ Utils 中发挥更大的作用。很明显，我的资源太有限了（因此有许多电子邮件等待回复），所以从长远来看必须做出一些改变。”

2022-05-27：Jigar Kumar 向补丁线程发送催促电子邮件。“超过 1 个月，但距离合并还很遥远。这并不奇怪。”

2022-06-07：Jigar Kumar 向 Java 线程发送 催促电子邮件。“在有新维护者之前，不会有进展。XZ for C 的提交日志也很稀疏。Dennis，你最好等到新维护者出现或自己分叉。如今，在此处提交补丁毫无意义。当前维护者失去了兴趣或不再关心维护。对于这样的仓库来说，这令人遗憾。”

2022-06-08：Lasse Collin 回击。“我并没有失去兴趣，但我关心事情的能力一直相当有限，这主要是由于长期的精神健康问题，但也由于其他一些事情。最近我与 Jia Tan 在 XZ Utils 上进行了一些非公开的工作，也许他将来会发挥更大的作用，我们拭目以待。还要记住，这是一个无偿的业余项目。”

2022-06-10：Lasse Collin 合并了第一个提交，其中 Jia Tan 作为 git 元数据中的作者（“测试：为硬件功能创建测试”）。

2022-06-14: Jigar Kumar 发送催促邮件。“以你目前的进度，我非常怀疑今年能看到 5.4.0 版本。自 4 月以来，唯一进展就是对测试代码进行了一些小改动。你忽略了在这个邮件列表中逐渐腐烂的许多补丁。你现在扼杀了你的仓库。为什么等到 5.4.0 才更换维护者？为什么拖延你的仓库需要的东西？”

2022-06-21: Dennis Ens 发送催促邮件。“我很抱歉你的心理健康问题，但意识到自己的局限性很重要。我知道这对所有贡献者来说都是一个业余项目，但社区需要更多。为什么不将 XZ for C 的维护权转让出去，以便你可以更多地关注 XZ for Java？或者将 XZ for Java 转让给其他人，以便专注于 XZ for C？试图同时维护两者意味着两者都没有得到很好的维护。”

2022-06-21: Lasse Collin 回复：“正如我在之前的电子邮件中暗示的那样， Jia Tan 未来可能在该项目中扮演更大的角色。他一直在场外提供很多帮助，实际上已经是联合维护者了。 我知道 git 存储库中还没有发生太多事情，但事情都是一步一步发生的。无论如何，至少对于 XZ Utils，维护权的变更已经开始进行。”

2022-06-22: Jigar Kumar 向 C 补丁线程发送催促邮件。“这件事有什么进展吗？Jia，我看到你最近提交了一些内容。为什么你不能自己提交？”

Jia Tan 成为维护者

在这一点上，Lasse 似乎已经开始与 Jia Tan 更紧密地合作。Evan Boehs 观察到 Jigar Kumar 和 Dennis Ens 都有 nameNNN@mailhost 电子邮件地址，这些地址从未出现在互联网上的其他地方，也没有出现在 xz-devel 中。他们很可能是为了推动 Lasse 给 Jia 更多控制权而创建的假地址。这奏效了。在接下来的几个月里， Jia 开始在 xz-devel 上权威地回复有关即将发布的 5.4.0 版本的主题。

2022-09-27: Jia Tan 为 5.4.0 提供发布摘要。（“包含多线程解码器的 5.4.0 版本计划在 12 月发布。我正在跟踪与 5..4.0 相关的未解决问题列表，其中包括... ”）

2022-11-30: Lasse Collin 修改 Bug 报告电子邮件 ，从他的个人地址更改为一个同时发给他和 Jia Tan 的别名，在 README 中注明“可以联系项目维护者Lasse Collin 和 Jia Tan ，邮箱：xz@tukaani.org”。

2022-12-30: Jia Tan 合并第一个直接提交到 xz 仓库（“CMake：更新 .gitignore 以获取源构建中的 CMake 工件”）。在这一点上，我们知道他们有提交权限。

2023-01-11: Lasse Collin 标记并构建了他的最终版本，v5.4.1。

2023-03-18: Jia Tan 标记并构建了他们的第一个版本，v5.4.2。

2023-03-20: Jia Tan 更新 Google oss-fuzz 配置 以向他们发送 Bug。

2023-06-22: Hans Jansen 发送了两个补丁，由 Lasse Collin 合并，它们使用“ GNU 间接函数”功能在启动时选择一个快速的 CRC 函数。此更改很重要，因为它提供了一个挂钩，通过该挂钩后门代码可以在全局函数表重新映射为只读之前修改它们。虽然此更改本身可能是一种无害的性能优化，但 Hans Jansen 在 2024 年回来推广带后门的 xz，并且在互联网上不存在。

2023-07-07: Jia Tan 在 oss-fuzz 构建期间禁用 ifunc 支持，声称 ifunc 与地址清理器不兼容。这本身可能无害，尽管它也是以后使用 ifunc 的更多基础工作。

2024-01-19: Jia Tan 将网站移至 GitHub 页面，让他们控制 XZ Utils 网页。Lasse Collin 大概为指向 GitHub 页面的 xz.tukaani.org 子域创建了 DNS 记录。在攻击被发现后，Lasse Collin 删除了此 DNS 记录，以移回他控制的 tukaani.org。

攻击开始

2024-02-23：Jia Tan 将后门二进制代码巧妙隐藏在一些二进制测试输入文件中实现了合并。相关的自述文件声称：“此目录包含用于测试解码器实现中对 .xz、.lzma (LZMA_Alone) 和 .lz (lzip) 文件处理的一系列文件。很多文件都是通过十六进制编辑器手工创建的，因此没有比文件本身更好的“源代码”。

2024-02-24：Jia Tan 标记并构建 v5.6.0 并发布 xz-5.6.0.tar.gz 发行版，其中包含一个额外的恶意 build-to-host.m4，在构建 deb/rpm 包时会添加后门。源代码存储库中不存在该 m4 文件，但同时也会在打包期间添加许多其他合法文件，因此它本身并不可疑。但是已从通常的副本修改脚本以添加后门。详情请参阅我的 xz 脚本演练文章。

2024-02-24： Gentoo 在 5.6.0 中开始出现崩溃。这看起来是一个真实的 ifunc 错误，而不是隐藏的后门中的错误，因为这是包含 Hans Jansen ifunc 变更的第一个 xz。

2024-02-26：Debian 将 xz-utils 5.6.0-0.1 添加 到不稳定版。

2024-02-28：Debian 将 xz-utils 5.6.0-0.2 添加 到不稳定版。

2024-02-29：在 GitHub 上，@teknoraver 发送了一个停止将 liblzma 链接到 libsystemd 的拉取请求。似乎这将会制止攻击。Kevin Beaumont 推断，知道这件事即将发生可能让攻击者的计划加快进度。目前尚不清楚是否早前的讨论透露过任何信息。

2024-02-28：Jia Tan 通过在用于检查 landlock 支持的 C 程序中添加一个微妙的拼写错误来中断了 configure 脚本中的 landlock 检测。为了检查 landlock 支持，该 configure 脚本尝试编译并运行该 C 程序，但由于该 C 程序中含有语法错误，它将永远无法被编译和运行，而且该脚本会一直判断没有 landlock 支持。Lasse Collin 是提交者，他可能错过了该精妙的类型，或可能该作者是伪造的。可能是前者，因为 Jia Tan 在许多其他改动中都没有费心伪造提交者。这篇补丁似乎在为除 sshd 更改之外的其他事情做准备，因为 landlock 支持属于 xz 命令而不是 liblzma 的一部分。具体是什么还不清楚。

2024-03-04：在 liblzma 的 _get_cpuid（后门入口）中，RedHat 发行版已开始发现 Valgrind 错误。

2024-03-05：libsystemd PR 已合并以删除 liblzma。

2024-03-05：Debian 将 xz-utils 5.6.0-0.2 添加到 testing。

2024-03-05：Jia Tan 提交 两个 ifunc Bug 修复。这些看起来是对实际 ifunc bug 的真正修复。一次提交链接到了 Gentoo Bug，并错误地输入了一个上游 GCC Bug。

2024-03-08：Jia Tan 提交了所谓的 Valgrind 修复。这是一个错误的方向，但却是有效的。

2024-03-09：Jia Tan 提交更新的后门文件。这是真正的 Valgrind 修复，更改了包含攻击代码的两个测试文件。“原始文件是用随机本地代码生成的。为了在将来更好地重现这些文件，使用一个常量种子重新创建了这些文件。”

2024-03-09：Jia Tan 标记并构建了 v5.6.1，以及发布了包含了新后门的 xz 5.6.1 发行版。到目前为止，我还没有看到对新旧后门有何不同之处有任何分析。

2024-03-25：Hans Jansen 回来了（！），提交 Debian bug 以将 xz-utils 更新至 5.6.1。与 2022 年的施压活动一样，更多在互联网上不存在的 name###@mailhost 地址出现并为其辩护。

2024-03-28： Jia Tan 提交 Ubuntu bug 以从 Debian 将 xz-utils 更新至 5.6.1。

攻击已检测到

2024-03-28：Andres Freund 发现 bug，私下通知 Debian 和 distros@openwall。RedHat 分配 CVE-2024-3094。

2024-03-28：Debian 回滚 5.6.1，引入 5.6.1+really5.4.5-1。

2024-03-29：Andres Freund 发布后门警告 至公开的 oss-security@openwall 列表，称他在“过去几周”发现了它。

2024-03-29：RedHat 宣布后门 xz 已在 Fedora Rawhide 和 Fedora Linux 40 beta 中发布。

2024-03-30：Debian 关闭构建 以使用 Debian stable 重新构建其构建机器（以防恶意软件 xz 逃离其沙箱？）。

延伸阅读

• Evan Boehs, Everything I know about the XZ backdoor(2024-03-29).
• Filippo Valsorda, Blueskyre backdoor operation (2024-03-30).
• Michał Zalewski, Techies vs spies: the xz backdoor debate(2024-03-30).
• Michał Zalewski, OSS backdoors: the folly of the easy fix(2024-03-31).
• Connor Tumbleson, Watching xz unfold from afar(2024-03-31).
• nugxperience, Twitter re awk and rc4 (2024-03-29)
• birchb0y, Twitter re time of day of commit vs level of evil (2024-03-29)
• Dan Feidt, 'xz utils' Software Backdoor Uncovered in Years-Long Hacking Plot(2024-03-30)
• smx-smz, XZ Backdoor Analysis and symbol mapping
• Dan Goodin,What we know about the xz Utils backdoor that almost infected the world(2024-04-01)
• Akamai Security Intelligence Group, XZ Utils Backdoor — Everything You Need to Know, and What You Can Do(2024-04-01)
• Kevin Beaumont, Inside the failed attempt to backdoor SSH globally — that got caught by chance(2024-03-31)
• amlweems, xzbot: notes, honeypot, and exploit demo for the xz backdoor(2024-04-01)
• Rhea's Substack, XZ Backdoor: Times, damned times, and scams(2024-03-30)

Xz专访：T16被淘汰很遗憾 追梦之旅并未结束

从TI5亚军到无缘TI6，Xz在一年的时间里经历了大起大落。对他来说，去年夏天的回忆是难以忘记的，但来到CDEC.Y的Xz，也没有放弃对梦想的追逐。在他看来，在哪里不重要，重要的是，要为了自己的目标而付出努力。

情理之中的结果6月24日，距离TI6中国区预选赛还有 两天的时间。平时很少发微博的Xz在那天发了一条微博，穿着一件黑色衬衫的他在上面写道“换了身行头，再次当黑马。”但在循环赛输给CDEC之后，2胜6负的CDEC.Y彻底失去了晋级的希望。Xz再次当黑马的愿望没能实现，一年之前的TI亚军，在TI6上只能沦为看客。

Q：TI6预选赛输给CDEC之后，你的TI6征程就此结束了。比赛结束的时候，你心情是怎样的?

Xz：比赛结束之后的心情其实还好。因为打完第一天的比赛心情就不太好，而且队伍的气氛也有些问题，感觉有些沮丧。第二天把每场比赛都当做最后一场来打，所以比赛结束之后的心态其实还好。

Q：这个结果是在你的意料之中还是意料之外?

Xz：这个结果只能说是在情理之中。因为赛前什么结果都有想过，不管是出线还是不出线，都有想过。

Q：当时觉得出现哪个结果的可能性会大一些?

Xz：我一直觉得预选赛大家都有机会，真的是一个五五开的局面。我们的对手其实就是自己，如果能够战胜自己，打进四强或者拿到TI名额都有可能。

Q：你觉得失利的原因是什么?

Xz：队里有几个新人第一次打这么重要的线下赛，所以打起来有些紧。而且第一天的战绩很差，大家的心态都有些崩，也没有一个领袖级的人物出来解决这些问题。

“我们的实力没有那么强”对于Xz来说，2015年的夏天是难以忘记的。从外卡赛突围的他们，创造了一个又一个的奇迹。虽然决赛中被EG3:1击败，但凭借在钥匙球馆的一系列表现，他们还是受到了无数赞誉。尽管在TI上有如此表现，但在Xz看来，CDEC的实力并没有达到世界顶尖。他们之所以能在TI5上有那样的表现，运气也是重要的因素之一。

Q：你们和CDEC出局之后，超人蛙说只有天知道他有多怀念去年的夏天，你呢?

Xz：去年夏天谁都怀念吧，能从一个外卡赛队伍打到亚军，那段回忆忘不了。

Q：TI的亚军让你自己有什么变化吗?

Xz：拿了TI亚军之后又打了半年的比赛，我感觉整个人变得有点油，没有以前那种拼劲了，只有在临近比赛的时候，才会有紧张的感觉。平常训练也没从前那么紧了，只有比赛了才会认真备战一下。

Q：从在CDEC时的默默无闻，到TI5上一鸣惊人，再到今年慢慢淡出人们的视野，你心里会感到有落差吗?

Xz：会有，但感觉没有那么明显。因为从我到CDEC.Y之后，就想过要重新开始。而且也没有把去年拿TI亚军当成一个包袱，没有考虑这些。

Q：TI5之后，CDEC有很多比赛的机会，虽然你们的表现不差，但和TI5上还是有所差距，你觉得原因是什么?

Xz：其实我们的实力本身就没有达到世界顶尖的那种水平，TI真的是一套体系从头打到了尾，而且对手对我们也不熟悉所以能拿到亚军，这个成绩肯定是意料之外的。后面我们每个大赛虽然都能进前八，我感觉也只是打出了平时训练的东西，只能说实力还是没有那么强。

Q：有这么一种说法，说你们就是运气好赶上了，所以才拿了TI5的亚军。

Xz：是的，运气成分占很大一部分。

Q：众所周知你们五个人的感情非常好，为什么会在年初换人?

Xz：霸气被提到LGD了，我们另外四个人在转会期也都各自有一些想法，所以就导致了最后没有一起组队。各方面原因都有吧，但关键还是霸气被提到LGD。

Q：对于CDEC或者说是你们五个人，你有着怎样的感情?

Xz：对CDEC或者我们五个人感情当然有，但职业圈本来就是这样的一个环境，大家打着打着打得不好或者默契不够了，总会有争吵，也总要经历换队，几乎没有那种能从头打到尾的队友。我只能说那段回忆还挺美好的。

从头开始从TI亚军到CDEC.Y在很多人看来，这样的落差是巨大的。但来到CDEC.Y之后，Xz自己反而看的很开。“我觉得在哪都能打出成绩，要自己心在比赛上面，有着想提高的想法，在哪都是一样的。”Xz说。

Q：离开CDEC之后，和哪些队伍接触过?为什么最后来到了CDEC.Y?

Xz：我接触过的队不多，除了CDEC.Y就是Newbee。Newbee到最后没有谈成，就来到CDEC.Y了。

Q：两家俱乐部之间好像还闹了一些不愉快?

Xz：就是俱乐部之间的条件没谈拢。原本我是和Kaka一起去CDEC.Y的，但Kaka被Newbee买走了。因为之前说好了一起组队，所以Newbee也找LGD谈了我的转会，但双方没谈拢，我就还是按照计划去了CDEC.Y。

Q：得知要去CDEC.Y的时候，心里的想法是怎么样的?

Xz：想法就是从头再来。因为队里还有一个小书童，实力不错也相对有经验，就跟着另外三个新人一起拼嘛，我觉得也有机会，能看到希望。但是可惜今年TI没有进去，挺遗憾的。

Q：作为TI亚军的你来到CDEC.Y，对你来说这算不算是个打击?

Xz：那不算，我是相当想得开的。对于职业的态度，还有一些个人方面的想法，都想得很开。我觉得在哪都能打出成绩，要自己心在比赛上面，有着想提高的想法，在哪都是一样的。

Q：从CDEC到CDEC.Y，这段时间里你自己有了什么改变?

Xz：我感觉我的话比原来多了。之前我在CDEC属于话比较少的那种，我和两仪落的话都比较少，经常是其他三个人在说。但来到CDEC.Y之后，也不说教吧，要经常跟队友讨论一些打法啊，细节啊，反正话要比之前多了。

Q：担的责任更多了?

Xz：对，在这个队我和小书童分担的东西要更多一些。

Q：TI6之后很多队伍都会进行大洗牌，你对未来有什么打算?

Xz：未来是未知的，我现在也不太好说。如果有特别值得去的队，我肯定会考虑的。但是我们队现在也还不错，所以我也会很纠结，具体的到那个时候才会知道。

Q：南洋杯上你尝试了打辅助，为什么会去做这样的尝试?

Xz：因为我们进不了TI了，大家就想换个心情，换个打法。我也想试一下辅助，因为我最早的时候其实就是打辅助的。我觉得辅助对于操作方面的要求要少一点，但是对于经验和一些BP上的选择，包括对套路的研究可能会更多一些。因为我现在已经是个老年选手了，所以也想尝试一下辅助的效果。

写在最后南洋杯上，CDEC.Y获得第四，Xz略带遗憾地说，如果能在TI6预选赛上有这样的比赛，也许就拿到TI门票了。

从TI亚军到无缘TI，Xz经历了职业生涯中的大起大落，但他自己，并没有被这种落差击倒。

与其感慨路难行，不如马上出发。虽然身边没有了曾经的队友，但他依然没有放弃对梦想的追逐。在CDEC.Y的这段时间对他来说是一种磨练，因为每一次的刻骨铭心，都是为了下一次更好的出发。