如果你关注网络安全，2024年上半年爆出来的XZ Utils后门事件，肯定至今想来还觉得后背发凉，一个潜伏了好几年的黑客，通过逐步获取开源项目维护权限的方式，在全球数百万服务器都在用的基础工具里埋了后门，一旦激活就能远程控制所有服务器，偏偏这个后门隐蔽到连很多传统安全工具都查不出来，也正是这场事件，让更多人意识到，供应链安全早就从“大公司的难题”变成了所有企业都要面对的“必答题”，而专注于内存安全与供应链防护的syscan360，也成了很多企业眼里的“救火队员”和“隐形守门员”。

从XZ后门事件看，供应链攻击为什么防不胜防

2024年3月，开源社区爆出了近年来影响最大的供应链投毒事件：攻击者通过多年渗透，逐步贡献代码获得项目团队信任，最终成功获取了压缩工具XZ Utils的项目维护权，在最新发布的版本中植入了精心构造的后门，这个后门可以绕过SSH认证，让攻击者直接获得Linux服务器的最高权限，而全球90%以上的Linux服务器都安装了XZ Utils，小到创业公司的云服务器，大到科技巨头的核心机房,都可能中招。

更可怕的是这个后门的隐蔽性：攻击者只在特定的编译环境下激活后门，平常根本看不出异常，而且后门运行时会把恶意代码注入内存，关机就自动消失，传统依赖磁盘扫描、版本比对的安全工具，根本查不出异常，要不是一位开发者偶然发现XZ的编译时间比正常版本长了不少，这个后门不知道还要潜伏多久,会造成多大的损失。

这件事出来之后，整个安全圈都炸了，很多企业连夜排查自己的服务器，结果发现大部分传统安全工具根本查不出来，就在大家慌了手脚的时候，syscan360第一时间推出了免费的XZ后门在线检测工具，通过内存特征扫描的方式，只需要几分钟就能查出服务器是否中招，当时不少国内企业都靠这个工具完成了排查,快速堵住了风险。

我当时跟一位在头部互联网公司做安全的朋友聊天，他说，这件事给整个行业提了个醒：原来我们对供应链攻击的警惕性还是太低了，现在软件开发早就变成了“拼积木”，90%以上的代码都是来自开源组件或者第三方服务商，没有人会从零开始写一个项目，只要其中一块积木有毒，整个产品都会带毒，而且这种攻击是“一炸一大片”，一个带毒组件就能影响成千上万的下游企业,防不住的话后果不堪设想。

中小微企业的安全痛点，syscan360到底解决了什么

很多人觉得，供应链安全是大公司要考虑的事，中小微企业没数据没流量，黑客不会盯上，这种想法真的错得离谱，我认识一个叫阿凯的创业者，2020年在武汉创办了一家十几人的科技公司，专门给本地连锁超市做库存管理SaaS系统，为了赶开发进度，他们的用户登录模块直接用了Github上一个星数很高的开源组件，当时也没做安全检测,觉得这么多人用肯定没问题。

结果2023年下半年，这个开源组件爆出了一个高危SQL注入漏洞，黑客轻轻松松就拖走了阿凯平台上120多家合作超市的供应商信息、超过10万条会员手机号，最后阿凯不仅给超市赔了十几万的违约金，还丢了三个百万级的合作订单，一年的利润几乎亏光了，后来阿凯跟我吃饭的时候吐槽，说不是不想做安全，是真的做不起：招一个资深安全工程师一年就要几十万，小公司一年利润才几十万，根本养不起；买传统的安全防护设备，不仅贵，还要专门的人维护,对小团队来说太麻烦了。

阿凯的遭遇其实是绝大多数中小微企业的缩影，根据中国开源软件推进联盟2024年发布的《中国企业开源软件应用安全报告》，现在国内企业的应用项目中，开源组件占比已经超过了92%，其中超过61%的项目存在至少一个高危已知漏洞，但是不到15%的中小微企业会定期做供应链安全检测，核心原因就是成本太高，门槛太高,普通人搞不懂。

而syscan360恰恰打中了这个行业痛点，和传统面向大公司的定制化安全服务不同，syscan360把内存安全检测、供应链成分分析、漏洞管理这些专业能力，做成了轻量化、标准化的产品，哪怕是只有几个人的小团队，也能快速上手，价格也降到了中小微企业能承受的范围,一年几千甚至几百块就能搞定定期检测。

阿凯出事之后，就用上了syscan360的供应链检测服务，现在每次上线新版本之前，只需要花十几分钟扫一遍，就能清楚知道项目里用了哪些开源组件，每个组件有没有漏洞，有没有隐藏的恶意代码，哪怕是未知的0day漏洞，也能通过内存行为分析发现异常，阿凯说，现在最明显的变化就是睡觉踏实了，原来每天都怕再出安全问题，现在相当于给项目加了一把锁,不用天天提心吊胆了。

我之前那个做平面设计工作室的朋友，也遇到过类似的问题：他们的官网用开源建站系统搭建，放在云服务器上，很长时间没维护，结果被黑客通过开源组件的漏洞植入了挖矿木马，服务器CPU一直跑满，网站打开要半分钟，好多客户进来一看这么卡就走了，他们一开始还以为是服务器性能不够，加钱升了配置还是不行，最后找安全人员过来排查才发现问题，清木马加修复花了小几千，还丢了好几个客户，要是他们提前用syscan360扫一下，几百块就能发现漏洞,根本不会有这个损失。

syscan360的技术优势，为什么能防住新型攻击

很多人会问，现在做安全的厂商那么多，为什么syscan360能在供应链安全这个领域快速崛起？核心还是它切中了现在新型攻击的特点,在内存安全这个赛道走在了国内行业的前面。

传统的安全防护大多是“静态检测”，就是扫描你磁盘上的文件，比对已知漏洞的特征，要是遇到像XZ后门这种新型的、内存驻留的攻击，或者未知的0day漏洞，传统检测就抓瞎了，而syscan360的核心技术就是动态内存检测，从程序运行的层面去看有没有异常行为：比如有没有偷偷给未知地址发数据，有没有越权访问内存，有没有不正常的权限提升，哪怕恶意代码不写在磁盘上，只要运行了就会留下痕迹,就能被检测出来。

除了内存检测，syscan360的供应链成分分析也能帮企业理清“安全家底”：很多企业开发的时候用了一大堆第三方组件，开发人员换了几波之后，连自己公司的项目里到底有多少开源组件，每个组件的版本是什么，有没有许可证风险，都说不清楚，syscan360能自动梳理出完整的供应链成分清单，哪里有风险一目了然，不管是自己做防护还是满足合规要求,都非常方便。

去年syscan360给国内某头部新能源车企做车载系统供应链安全检测，就发现车载系统的娱乐模块里用了三个带高危漏洞的开源组件，要是被黑客利用，不仅能偷用户的出行数据、隐私信息，甚至能远程干扰车辆的控制信号，想想都后怕，最后车企提前修复了漏洞,避免了可能发生的重大安全事故。

我和做安全的业内人士聊天，得到的共识是：现在黑客的攻击逻辑早就变了，原来黑客是“哪个门没锁偷哪家”，现在是“在供应链里埋雷，一炸炸一片”，攻击成本更低，收益更高，隐蔽性更强，原来的防护逻辑是“堵边界”，现在必须要“溯源头，查内存”，从供应链的每一个环节去扫风险，才能防住新型攻击，syscan360的技术路线正好踩对了这个趋势，而且作为国产的安全厂商，syscan360也符合国内的合规要求，所有检测数据都存在国内，不会出现把企业核心数据传到境外的风险，对很多涉及关键信息基础设施的企业来说,这一点尤其重要。

普惠安全才是未来，syscan360给行业的启示

在我看来，syscan360最大的意义，其实不是给大公司做定制服务，而是把原来只有大公司能用得起的专业安全能力，普惠给了千千万万的中小微企业，根据公安部网安局2024年发布的《中小微企业网络安全报告》，去年我国中小微企业遭遇网络攻击的比例已经超过了72%，其中超过41%的攻击都是通过供应链漏洞发起的，但是超过80%的中小微企业没有专门的安全防护能力，很多企业出了事才知道补窟窿,早就晚了。

很多人说，中小微企业不重要，出点事也没关系，这个观点真的错了，现在整个数字经济的供应链，就是大公司搭骨架，中小微做血肉，一个中小微供应商出问题，整个产业链都会受影响，2023年就发生过这样的事：某国内头部新能源汽车的一级供应商，是一家不到100人的中小科技企业，做生产管理系统，因为供应链漏洞被黑客攻击，导致整个工厂停产了三天，直接损失超过两个亿，最后还是上游的大公司出钱帮他们解决的安全问题，这个例子就说明，中小微的安全根本不是自己的事,是整个产业链的事。

原来的安全行业，大多盯着大公司的大单子，看不起中小微的小需求，导致很多中小微企业想买安全服务都买不到，syscan360把产品标准化、轻量化，降低了门槛和成本，让中小微也能用得起专业的安全防护,其实是补了整个行业的短板。

我个人一直认为，数字经济要发展，安全底座必须要牢固，而安全底座不能只筑牢大公司的部分，还要把千千万万中小微企业的漏洞补上，不然整个底座还是漏的，syscan360走的普惠安全路线，其实是方向非常对的，现在国家也越来越重视供应链安全，2024年新修订的《网络安全审查办法》就明确要求，关键信息基础设施运营者必须对供应链进行安全审查，未来会有越来越多的企业，不管大小，都需要做供应链安全检测，这个市场很大,也需要更多像syscan360这样的厂商站出来。

回到开头的XZ后门事件，其实这件事给我们的提醒就是，在数字时代，没有谁能独善其身，供应链上任何一个小环节出问题，都可能引发大灾难，syscan360作为国内专注于内存安全和供应链安全的厂商，其实就是站在风险和企业之间的一道坚固防线，给大公司兜底，给中小微撑腰，让更多企业能放心搞开发，不用天天担心安全问题，未来我也希望能看到更多国产安全厂商，能把专业能力做的更普惠，让安全不再是大企业的专利，而是所有市场主体都能享受到的基础服务,这样我们的数字经济才能走得更稳更远。