А вы давно заглядывали внутрь ваших зависимостей?
Задумывались ли вы о том, что находится внутри зависимостей, которые так или иначе подтягиваются в ваш код? Взять чужую библиотеку сейчас — норма жизни, но чем это обернется с точки зрения безопасности?
Последние истории с node‑ipc и CTX заставили задуматься о том, что лежит внутри этих репозиториев. Оказалось, не только легитимный код. Там есть и попытки заработать без особых усилий, просто собирая информацию, и даже полноценные стиллеры. Причем негативных изменений стало больше после известных событий.
За подробностями о сканировании пакетов npm и PyPI добро пожаловать под кат.
Читать далееИсточник: Хабрахабр
- Хабрахабр Информационная безопасность Информационная безопасность Open source Программирование Реверс-инжиниринг информационная безопасность кибербезопасность cybersecurity уязвимость программирование open source github node-ipc репозиторий malware
- Настрочить жалобу в спортлото
- bzvr
- Распечатать
- TG Instant View