En mi experiencia, es un mantra común que el código abierto tiende a ser seguro debido a su disponibilidad para un escrutinio abierto. Tiendo a estar de acuerdo con esto. Al mismo tiempo, no es ningún secreto que las vulnerabilidades se descubren constantemente.
Además, creo que es fácil imaginar que los desarrolladores muy ansiosos obtienen bibliotecas y herramientas y que están disponibles en varios repositorios. Creo que estos recursos se toman de forma regular rápidamente para la experimentación y, a veces, se adoptan en proyectos más grandes sin mucho escrutinio (tal vez además de una verificación de compatibilidad de licencia, y cierta seguridad de que el conjunto de características coincide con lo que se desea)
Lo que me viene a la mente es PyPI, Dockerhub, etc.
Me gustaría saber si hay muchos casos documentados de cosas como:
- Contribuciones maliciosas exitosas al software de código abierto prevaleciente
- Los proyectos más pequeños que aparecieron y que podrían considerarse malware con el pretexto de proporcionar alguna funcionalidad simple pero atractiva
- Informes de juego sucio en intentos intentados
Entiendo que los mejores proyectos de FOSS tienen mantenedores de alta calidad, pero también veo este mundo actual de spam continuo, phishing, pesca submarina, robo de identidad y gobiernos agresivos. Personalmente, me resulta difícil creer que los malos actores nunca tomarían un descanso al tratar de hacer contribuciones maliciosas a estos proyectos, dado que rara vez se toman un descanso de sus otras tareas desagradables.