Я вот писал, что дни беззаботного open source заканчиваются. Сейчас очень сложно всё будет с провенансом, очень много появляется разных угроз. "Одной командой скачать и заюзать 100 пакетов, ура, круто" - это будет в прошлом. Как оказалось, те же вещи говорит последнее время Jonathan Blow небезызвестный. Ну и интересные новости про внедрение бэкдоров в опен-сорс:
Сначала такой опер-сорс делали отдельные спецслужбы, потом все спецслужбы будут делать (тезис J.Blow), а потом и любой случайный пацанчик, который решил, что сегодня станет успешным,. Как минимум, пацанчики будут пытаться стащить побольше крипто-кошельков, но мне кажется, что побочный ущерб будет на (много) порядков выше того, что стащат. Ну и более серьёзным говнюкам будут интересны доступы, возможность добавить свои бекдоры уже в чужой код, и так далее.
The attackers' use of @0xengine/xmlrpc allowed them to steal some 390,000 credentials from infected machines.
Сначала такой опер-сорс делали отдельные спецслужбы, потом все спецслужбы будут делать (тезис J.Blow), а потом и любой случайный пацанчик, который решил, что сегодня станет успешным,. Как минимум, пацанчики будут пытаться стащить побольше крипто-кошельков, но мне кажется, что побочный ущерб будет на (много) порядков выше того, что стащат. Ну и более серьёзным говнюкам будут интересны доступы, возможность добавить свои бекдоры уже в чужой код, и так далее.