Re: Обновлять / не обновлять? - вот в чём вопрос!

["Dmitry Shkolnikov" <ezh@ezhe.ru>]

Здравствуйте, Еже!


>  Вот где об этом по-русски сейчас все читают https://habr.com/ru/news/t/656219/
Да если б это был единичный случай с npm.
Далеко ходить не надо, вот вообще фееричный случай: 
https://dev.to/chaitanyasuvarna/how-a-developer-broke-the-internet-by-un-publishing-his-package-containing-11-lines-of-code-31ei

Особенность современной разработки ПО в том, что так или иначе для 
экономии времени и средств приходится использовать массу сторонних 
библиотек, доверяя сообществу. Да и физически очень сложно проверять 
все-все библиотеки.

>  В том-то и дело, что в случае открытого ПО это сразу увидел весь мир и поднял тревогу. На Гитхабе ветку можно читать по-английски, ссылка на Хабре.
...
> В случае с Эпплом и Микрософтом такой номер не пройдёт - они вставляют закладки в бинарные модули молча, а найти их так легко нельзя. И У НИХ ДАВНО ВСЁ ВСТАВЛЕНО.
> //Sergei S. Rublёv
В подобных дискуссиях мне очень нравится вот этот пример приводить: 
вредоносный код был внедрён непосредственно в среду разработки и заразил 
сотню миллионов устройств. Очень удобно, когда на выходе из среды 
разработки исполняемый файл. Аудит исходного кода ничего не покажет, а 
приложение будет со зловредом. Очень сложно найти подобные штуки, 
особенно пока их создатель не активировал спящую функциональность. А 
если и дистрибуция под надзором автора среды разработки, то и подавно. 
Разрабатывайте приложение в XCode, выкладывайте в AppStore, а 
пользователям вещают, что только в AppStore можно быть уверенным в 
безопасности и надёжности приложения. В случае с мобильными устройствами 
Apple альтернативы вообще практически нет.

https://www.intego.com/mac-security-blog/xcodeghost-malware-infected-100-million-ios-users-and-apple-said-nothing/#:~:text=Users%20downloaded%20infected%20apps%20from,version%20on%20Apple's%20App%20Store.%22

--
Best regards,
    D.


Оценить письмо Reputatio: http://ezhe.ru/reputatio/0917b9dac4