![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
bga68compАмериканська ІБ-фірма Hunted Labs провела дослідження і з'ясувала, що найпопулярніша Node.js-утиліта fast-glob підтримується лише однією людиною. І, судячи з його профілів у мережі, це розробник з Яндекса на ім'я Денис Малиночкін, який проживає в РФ.
Здавалося б, типова історія для Open Source. Але є нюанс. fast-glob скачали десятки мільйонів разів, вона є залежністю у 5000+ публічних проектах, а найцікавіше, що вона використовується як мінімум у 30 проектах Міністерства оборони США (DoD). Більше того, вона включена до Iron Bank, а це довірений репозиторій ПЗ, який Пентагон використовує для своїх систем 🎩
Дослідники уточнюють, що fast-glob не має відомих уразливостей (CVE), а до самого розробника немає жодних претензій. А проблема у самій моделі загроз. Найпопулярніший пакет із глибоким доступом до файлової системи, який є частиною критичної інфраструктури СЩА, підтримується одним Денисом із підмосков'я без будь-якого зовнішнього контролю 😗
Хлопці з Hunted Labs повідомили про свої знахідки до Пентагону ще три тижні тому. Особливо іронічно це виглядає на тлі нещодавньої директиви міністра оборони США, яка забороняє закуповувати програмне забезпечення, схильне до іноземного впливу.
Відчуваєте, що скрізь все одно? 🤔 Ідеальний приклад того, як насправді влаштований сучасний ланцюжок поставок ПЗ.
© Типичный 🥸 Сисадмин (https://t.me/+ksMnj1y9FaAyMGJi)
