As questões em torno dos repositões de código aberto foram criadas em relatórios pelos principais grupos de pesquisa nas últimas semanas, incluindo checkmarx, reversinglabs e soquete, de acordo com o Hacker News.As vantagens para os desenvolvedores: vastas bibliotecas de código aberto, integração perfeita em pipelines de CI/CD, amplo suporte da comunidade, atualizações frequentes, inovação rápida/ciclos de vida.”Os registros de código aberto, como NPM, Pypi e Rubygems, têm o potencial de se tornar canais de distribuição de malware”, disse Soroko.”A alternativa, está fechada ou repositórios internos, que não têm flexibilidade por meio de entrega lenta”, disse Adams.Uma troca de linha única pode redirecionar todas as chamadas da API do Telegram por meio de um trabalhador do Cloudflare sob o controle do atacante, sifonando tokens de bot, IDs de bate -papo, mensagens e uploads de arquivos.
Fonte: https://www.scworld.com/news/open-source-code-repos-open-to-supply-chain-attacks-researchers-warn
