Joomla 是由许多有才华的个人构建的，仔细审查对项目的每一项代码贡献，以确保构建一个安全系统。

但如果攻击者能够操纵 Joomla 更新服务器会怎样？或者如果对 Joomla 用于更新分发的 CDN 发起了成功的攻击？或者提出一个更通用的问题：我们如何确保在 Joomla 后端显示的更新实际上是合法的？

供应链攻击

在 IT 世界中，针对软件更新程序进行的攻击被称为“供应链攻击”。这不是一个理论问题，而是一个现实世界的威胁，不仅针对桌面软件，也针对 CMS - 与自动更新机制结合，它可以迅速变成一个噩梦场景。2016年，发现 WordPress 更新服务器存在漏洞，攻击者可以通过一次攻陷已知网络的 27%。

密码学的拯救

缓解供应链攻击需要本地软件（在这种情况下：我们的 Joomla 网站）能够验证有关可用更新的信息是由授权实体（在我们的情况下：Joomla 项目）发布的，并且还需要验证下载的更新包的完整性。

为了做到这一点，软件行业使用公钥/私钥密码学：开发者使用他的私钥发布更新信息并对其进行签名。本地软件实例存储了公钥的副本，允许它检查该签名。如果更新信息或签名已被更改，检查将失败。如果该更新信息还包括实际更新包的哈希值（文件的“指纹”），软件还可以验证实际下载的包是原始文件，且未被修改。

介绍 TUF

在Joomla 5.1中，已经引入了这样一个更新验证系统！它基于“The Update Framework”或简称为“TUF”，这是一个由Python社区开发的系统。使用TUF，项目现在能够证明其更新信息的完整性，使得未来的核心更新具有防篡改功能！即使攻击者能够访问分发可用更新信息的更新服务器，他们也无法伪造证明这些信息确实由官方项目发布的加密签名。

TUF解决了一系列不同的问题，并允许项目在未来安全地添加和删除授权签名密钥。这是一个面向未来的可持续解决方案。

最好的部分是：作为Joomla用户，您不需要做任何事情就可以利用这个新系统！基于TUF的更新器将在Joomla 5.1中推出，适用于现有和新的网站——所以一旦您更新到5.1或更高版本，或者使用5.1或更高版本开始了一个新的项目，您将自动受益于防篡改的核心更新。

设定新标准

据我们所知，Joomla是第一个，也是迄今为止唯一一个在其更新过程中实施此类系统的基于PHP的CMS。这证明了项目对它的愿景声明认真负责：开发免费、安全和高质量的开源软件。

荣誉归功于应得的人

最后但同样重要的是，我想感谢Franciska Eichert、Martina Scholz、Niels Nübel、Stefan Wendhausen、Tobias Zulauf、Magnus Singer、Benjamin Trenkle、Timo Feuerstein、Harald Leithner在功能开发过程中的贡献，以及所有使TUF能够被包含在核心中的测试人员、代码审查人员和漏洞修复人员。这是一个具有挑战性的项目，我非常感激每一位的帮助！