文章总结： Go流行库fsnotify维护人员权限变更引发供应链安全警报，该库被32万项目依赖且涉及Kubernetes等核心系统。事件起因是贡献者因资金配置争议被移出GitHub组织，社区担忧可能存在的恶意代码风险。安全团队建议监控关键依赖的维护活动、核查发布历史并在治理不明时评估复刻版本。 综合评分： 82 文章分类： 供应链安全,漏洞预警,安全事件,安全运营,解决方案

Go 流行库 fsnotify 的维护人员访问权限变更，拉响供应链攻击警报

代码卫士

2026年5月12日 17:53 北京

在小说阅读器读本章

去阅读

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

作者： Tushar Subhra Dutta

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

使用广泛的 Go 库 fsnotify 的维护人员访问权限突然变更，在开源社区引发供应链安全恐慌。

fsnotify 项目为在 Windows、Linux、macOS、BSD 和 illumos 上运行的应用程序提供跨平台文件系统通知服务。在未发布公开解释的情况下，贡献人员被从 GitHub 组织中删除，用户无法立即区分这些变更是日常维护措施还是触发风险。鉴于该库的影响范围之广，这种焦虑情有可原。GitHub 的数据显示，fsnotify 已经拥有超过1.07万颗星标、969次复刻分支，以及超过32.1万个依赖项目。

该项目深藏于软件栈、底层开发者工具、命令行接口、开发者服务器和基础设施流水线中。当有人能够将更改推送到关键库中的不确定性增加时，其影响几乎立刻就能蔓延到下游。

Socket.dev 公司的研究人员紧密跟踪该事件后发现，这一情况承载着潜在供应链攻陷事件的所有表面信号。流行依赖、最近发布、维护人员访问权限变更、一个公开帖子遭删除以及发布流水线的授权方不明，所有这些模式都让人担忧，即使尚未有确凿的恶意代码证据。

此事曝光源于Go 开发人员 Yasuhiro Matsumoto（网名 mattn）在X平台上发帖称自己被移出了 fsnotify GitHub 组织。他的帖子用日语撰写，后被删除，其中提到因独立贡献而遭到斥责，并发现原作者也被删除了。该贴经翻译传播后，用户纷纷涌去查看版本历史并评估各类复刻分支。

01

拉响供应链警报

Grafana 的高级开发者倡导者Oshi Yamaguchi在 GitHub 上提交了一个议题，指出了这些变更，并提到 fsnotify 被嵌入在许多主流开源项目中，下游用户需要更清晰的解释。该议题引发了社区广泛关注，也给维护者 Martin Tournoij 带来了压力，要求他解释事情的经过。

Tournoij 直接在 GitHub 讨论帖中作出回应，反驳了关于“接管”的说法。他表示，被移除的账户因历史原因拥有提交权限，但从未在任何实质意义上作为活跃维护者发挥作用。他认为，近期的变更合并过于仓促，未能在所有支持的平台上得到充分审查，可能会毁掉多年来细致的清理工作。

与此相关的一个触发因素是项目资金配置文件的变更。Tournoij 表示，Matsumoto 在刚参与项目不久时，未经事先讨论就直接向主分支提交了一个赞助信息更新。他将此描述为撤销权限的关键原因之一。Matsumoto 随后承认，更改资金文件是一个错误并为此道歉，同时澄清自己已删除的帖子中存在错误信息，包括错误地声称原作者也被移除了访问权限。

02

供应链攻击恐慌和 Kubernetes 回应

这种担忧很快传导至更下游的用户。Kubernetes 社区的一个 GitHub 议题标题为“fsnotify/fsnotify：健康与否？”，呼吁密切关注该项目，并建议如果情况不稳定就评估使用复刻版本。Matsumoto在被移除权限后还另外创建了一个名为 gofsnotify/fsnotify 的仓库，Kubernetes 的贡献者指出这也值得关注。

Docker 首席软件工程师 Sebastiaan van Stijn 指出，像 fsnotify 这类库处于软件栈中相当底层的位置，容易被忽视，而 Dependabot 这类工具又让项目可以轻松更新依赖而无需过多审查。他的评论一语道破了供应链攻击如何借助一个广泛信任的库悄然扩散。

Socket.dev 的分析师指出，供应链入侵的早期阶段与维护者争议从外部看起来几乎一模一样。两者都可能涉及意外发布、权限变更以及相互矛盾的公开声明。

近期发生的xz-utils 后门事件提醒人们威胁真实存在，使得开发者对基础库中的异常活动更加警惕。安全团队应监控关键依赖中的维护者活动，在出现争议时核查发布历史，并在项目治理不明确时评估复刻版本。

开源卫士试用地址：https://sast.qianxin.com/#/login

代码卫士试用地址：https://codesafe.qianxin.com

推荐阅读

在线阅读版：《2025中国软件供应链安全分析报告》全文

Gemini CLI 严重漏洞可触发 RCE 攻击和软件供应链风险

自传播供应链蠕虫劫持 npm 包，窃取开发人员令牌

Axios 严重漏洞可导致 RCE

Trivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播

热门包管理器中存在多个漏洞，JavaScript 生态系统易受供应链攻击

开源自托管平台 Coolify 修复11个严重漏洞，可导致服务器遭完全攻陷

得不到就毁掉：第二轮Sha1-Hulud供应链攻击已发起，影响2.5万+仓库

vLLM 高危漏洞可导致RCE

开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

热门NPM库 “coa” 和“rc” 接连遭劫持，影响全球的 React 管道

开发人员注意：VSCode 应用市场易被滥用于托管恶意扩展

GitHub Copilot 严重漏洞可导致私有仓库源代码被盗

受 Salesforce 供应链攻击影响，全球汽车巨头 Stellantis 数据遭泄露

捷豹路虎数据遭泄露生产仍未恢复，幕后黑手或与 Salesforce-Salesloft 供应链攻击有关

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例，全球700+家企业受影响

黑客发动史上规模最大的 NPM 供应链攻击，影响全球10%的云环境

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例，全球700+家企业受影响

AI供应链易遭“模型命名空间复用”攻击

Frostbyte10：威胁全球供应链的10个严重漏洞

PyPI拦截1800个过期域名邮件，防御供应链攻击

PyPI恶意包利用依赖引入恶意行为，发动软件供应链攻击

黑客利用虚假 PyPI 站点钓鱼攻击Python 开发人员

700多个恶意误植域名库盯上RubyGems 仓库

NPM “意外” 删除 Stylus 合法包 全球流水线和构建被迫中断

固件开发和更新缺陷导致漏洞多年难修，供应链安全深受其害

NPM仓库被植入67个恶意包传播恶意软件

在线阅读版：《2025中国软件供应链安全分析报告》全文

NPM软件供应链攻击传播恶意软件

隐秘的 npm 供应链攻击：误植域名导致RCE和数据破坏

NPM恶意包利用Unicode 隐写术躲避检测

Aikido在npm热门包 rand-user-agent 中发现恶意代码

密币Ripple 的NPM 包 xrpl.js 被安装后门窃取私钥，触发供应链攻击

原文链接

Popular Go Library fsnotify Raises Supply Chain Alarms After Maintainer Access Changes

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 《Go 流行库 fsnotify 的维护人员访问权限变更，拉响供应链攻击警报》