Quando cloniamo i progetti git da utilizzare così come sono o quando installiamo pacchetti gratuiti npm forniti da fonti di terze parti, esiste un rischio per la sicurezza? quanto sono affidabili questi pacchetti per l'ambiente di produzione?
Quando cloniamo i progetti git da utilizzare così come sono o quando installiamo pacchetti gratuiti npm forniti da fonti di terze parti, esiste un rischio per la sicurezza? quanto sono affidabili questi pacchetti per l'ambiente di produzione?
Ovviamente c'è un rischio.
Il software Floss non elimina il malware, lo rende solo riconoscendolo possibile. Per un grande progetto ben noto, ci saranno alcune persone che guardano il codice tutte le volte, in modo che nessuna singola persona possa mai fare qualcosa di male. Per i progetti più piccoli, è necessario verificare se si desidera una garanzia che va bene.
E, naturalmente, il cattivo codice sorgente non è l'unico problema. Sourcecode può non essere quello usato per compilare la versione binaria. Oppure, se lo compili da solo, c'è anche un (piccolo) rischio di compilatori non validi (mentre anche la fonte del compilatore è completamente a posto - la descrizione di questo va molto lontano qui). E non deve essere l'autore del programma, le terze parti possono comprendere anche il server, o manomettere i dati di connessione ecc.
Soprattutto su npm c'erano noti attacchi attivi. Il pacchetto cross-env era utile e utilizzato da molti utenti, ma il pacchetto crossenv perderebbe tutte le variabili di ambiente in un altro host.
Qualcuno ha portato questo all'estremo registrando molti pacchetti in un sacco di sistemi, che avrebbero potuto comportare il compromesso di 17000 host.
Inoltre, qualcuno ha mostrato che alcuni account NPM utilizzavano password deboli , che potrebbe causare la distribuzione di codice dannoso.