去年，谷歌员工发起了一项活动，帮助成千上万的开源项目修补广泛运用于Apache Commons Collections （ACC）中的一个远程代码执行漏洞。该活动名为“Operation Rosehub”，最初由大约 50名 Google员工自愿参与，利用 20% 的工作时间为Github上受“Mad Gadget漏洞”影响的成千上万的开源项目打补丁。

据悉，Mad Gadget漏洞（CVE-2015-6420）是Apache Commons Collections （ACC）Java反序列化远程代码执行漏洞，允许未经身份验证的远程攻击者在系统上执行任意代码。

【Apache Commons工具集部分工具介绍 via 博客】

Apache Commons Collections （ACC）广泛部署于许多Java应用程序中，用于解码设备间传输的数据。利用该漏洞，任何未经身份验证的远程攻击者都可以在受损系统上执行任意代码，实施进一步的攻击行为。

还记得去年发生的旧金山市政交通系统遭受黑客攻击勒索的事情吗？2016 年 11 月，一名匿名黑客就是利用了名为 Mad Gadget 的 Java反序列化漏洞，成功感染并接管了2000台电脑设备，对旧金山交通局的计算机系统造成了深远的影响。

随着Mad Gadget漏洞的公布，几乎所有的商业企业包括甲骨文、思科、Red Hat、VMWare、IBM、Intel、Adobe、惠普、Jenkins以及SolarWinds开始正式发布安全公告和更新，修复受影响的系统和软件。但是在这些大型企业修复完漏洞后，一位 Google 员工注意到一些依赖于 Apache Commons Collections的知名开源库仍然没有打上补丁。他借助BigQuery 搜索 GitHub 上开源代码的项目，评估使用不安全的Collections 旧版本的开源项目数量，发现了多达 2,600 个不同项目仍然使用不安全的Collections版本。

TensorFlow公司的软件工程师Justine Tunney在谷歌开源项目博客中写道：

我们意识到，必须做些事情来保障开源社区的安全，而不是简单地发布一个安全公告让每个人去解决自己的问题。因为我们不仅仅需要为几个大的开源项目打补丁，还要为依赖于这些开源库的成百上千个下游项目打补丁，所以我们成立了一个专责小组来为成千上万已知受影响的项目更新代码打上补丁。

在“Rosehub”行动中，许多开源项目代码得到了更新修复，但是目前谷歌员工只能修补GitHub上使用不安全的Collections版本的开源项目。根据开源博客所言，如果旧金山市政交通机构的软件系统已经开源，谷歌的工程师也能够为其提供补丁修复Mad Gadget漏洞，帮助其系统免受此类威胁攻击。