Nella mia esperienza, è un mantra comune che l'open source tende ad essere sicuro grazie alla sua disponibilità per un controllo aperto. Tendo ad essere d'accordo con questo. Allo stesso tempo non è un segreto che le vulnerabilità vengono costantemente scoperte.
Inoltre, ritengo sia facile immaginare che gli sviluppatori molto entusiasti ottengano librerie e strumenti e che siano disponibili in vari repository. Credo che queste risorse vengano regolarmente frettolosamente utilizzate per la sperimentazione e talvolta adottate in progetti più estesi senza un controllo accurato (forse oltre a un controllo di compatibilità delle licenze e una certa sicurezza che il set di funzionalità corrisponda a quanto desiderato)
Mi viene in mente PyPI, Dockerhub, ecc.
Vorrei sapere se ci sono molti casi documentati di cose come:
- Contributi dannosi di successo a software open source prevalente
- Progetti più piccoli che sono apparsi che potrebbero essere considerati malware con il pretesto di fornire alcune funzionalità semplici ma accattivanti
- Rapporti di gioco scorretto sui contributi tentati
Capisco che essere i migliori progetti FOSS abbia manutentori di alta qualità, ma vedo anche questo mondo attuale di spamming ininterrotto, phishing, spearphishing, furto d'identità e governi aggressivi. Personalmente ho difficoltà a credere che i cattivi attori si prenderebbero mai una pausa dal cercare di dare contributi malevoli a questi progetti, visto come si prendono una pausa dai loro altri cattivi compiti.