Cuando clonamos proyectos de git para usarlos como estamos o cuando instalamos paquetes npm gratuitos proporcionados por fuentes de terceros, ¿existe algún riesgo de seguridad? ¿Qué tan confiables son estos paquetes para el entorno de producción?
Cuando clonamos proyectos de git para usarlos como estamos o cuando instalamos paquetes npm gratuitos proporcionados por fuentes de terceros, ¿existe algún riesgo de seguridad? ¿Qué tan confiables son estos paquetes para el entorno de producción?
Por supuesto que hay un riesgo.
El software Floss no elimina el malware, solo hace posible reconocerlo. Para un proyecto grande bien conocido, habrá personas que miren el código todo el tiempo, para que ninguna persona pueda hacer nada malo. Para proyectos más pequeños, debería comprobarse si desea una garantía de que está bien.
Y, por supuesto, el mal código fuente no es el único problema. El código fuente no puede ser el que se utiliza para compilar la versión binaria. O, si lo compila usted mismo, existe incluso un riesgo (pequeño) de que los compiladores sean malos (mientras que incluso la fuente del compilador es completamente correcta, ya que describirlo va muy lejos). Y no tiene que ser el autor del programa, los terceros también pueden comprender el servidor o manipular los datos de conexión, etc.
Especialmente en npm hubo ataques activos conocidos. El paquete cross-env fue útil y utilizado por muchos usuarios, pero el paquete crossenv filtraría todas sus variables de entorno a otro host.
Alguien llevó esto al extremo al registrar una gran cantidad de paquetes en muchos sistemas, que podrían haber resultado en el compromiso de 17000 hosts.
Además, alguien mostró que algunas cuentas de NPM usaron contraseñas débiles , lo que podría resultar en la distribución de código malicioso.