commit -m "better"

Forwarded from Технологический Болт Генона

В мае я кидал пост о том, что Hunted Labs обнаружили в крупных проектах Go-шный пакет разрабатывающийся ВК
https://www.tgoop.com/tech_b0lt_Genona/5315

Теперь ещё одно "открытие" от них же

Минобороны США использует открытую утилиту fast-glob разработчика из РФ, автор ответил на вопросы безопасности проекта
https://habr.com/ru/news/941484/

По информации иностранных СМИ (The Register, Hunted Labs), в информационных системах Министерства обороны США активно используется открытая утилита fast‑glob (https://www.npmjs.com/package/fast-glob) от разработчика из РФ Дениса Малиночкина (mrmlnc), который работает в «Яндексе».

fast‑glob — это очень быстрая и эффективная библиотека для Node.js, которая разрабатывается с 2016 года. Она широко используется в тысячах проектов, включая более 30 систем Министерства обороны США.

По информации профильных источников, нет никаких доказательств вредоносной активности в этом проекте. Но эксперты по кибербезопасности предупреждают, что отсутствие контроля за столь критически важными проектами с открытым исходным кодом делает их уязвимыми для потенциального использования со стороны государственных структур.

Соучредитель Hunted Labs Хейден Смит заявил, что подобные проекты вызывают беспокойство. «Каждый фрагмент кода в таких проектах не обязательно попадает под подозрение, но популярные пакеты, не находящиеся под внешним контролем, легко могут быть скомпрометированы. В целом, сообщество разработчиков ПО с открытым исходным кодом должно уделять больше внимания этому риску и минимизировать его», — заявил Смит.

Ответ Малиночкина на исследование и подозрения Hunted Labs:

«Проект fast‑glob — популярное решение для поиска файлов по шаблонам в файловой системе. Более 7 лет (с 2016 года) я разрабатываю и поддерживаю этот проект самостоятельно. Проект был начат до моего начала работы в «Яндексе», и его разработка или поддержка никогда не входили в мои профессиональные обязанности в компании. Я выпустил этот проект с открытым исходным кодом ещё в 2016 году, полагая, что он может быть полезен разработчикам, и рад, что так получилось.
. . .
Я поддерживаю проект в одиночку, поскольку за эти годы сообщество не выразило потребности в более активном участии. Это типично для решений инфраструктурного уровня, с которыми пользователи не взаимодействуют напрямую. Я всегда открыт для вклада сообщества. Также хотел бы ещё раз подчеркнуть, что как исходный код, так и distributed package полностью открыты и доступны для проверки потенциальными пользователями.

Отвечая на ваш вопрос: никто никогда не просил меня манипулировать fast‑glob, вносить скрытые изменения в проект или собирать и делиться системными данными. Я считаю, что открытый исходный код основан на доверии и разнообразии»

Оригинал
Not So Fast and Furious: Popping Fast-Glob’s Hood
https://huntedlabs.com/popping-fast-globs-hood/

👍28

www.tgoop.com/itpgchannel/3375

1.78K viewsSep 6 at 14:25

В мае я кидал пост о том, что Hunted Labs обнаружили в крупных проектах Go-шный пакет разрабатывающийся ВК
https://www.tgoop.com/tech_b0lt_Genona/5315

Теперь ещё одно "открытие" от них же

Минобороны США использует открытую утилиту fast-glob разработчика из РФ, автор ответил на вопросы безопасности проекта
https://habr.com/ru/news/941484/

По информации иностранных СМИ (The Register, Hunted Labs), в информационных системах Министерства обороны США активно используется открытая утилита fast‑glob (https://www.npmjs.com/package/fast-glob) от разработчика из РФ Дениса Малиночкина (mrmlnc), который работает в «Яндексе».

fast‑glob — это очень быстрая и эффективная библиотека для Node.js, которая разрабатывается с 2016 года. Она широко используется в тысячах проектов, включая более 30 систем Министерства обороны США.

По информации профильных источников, нет никаких доказательств вредоносной активности в этом проекте. Но эксперты по кибербезопасности предупреждают, что отсутствие контроля за столь критически важными проектами с открытым исходным кодом делает их уязвимыми для потенциального использования со стороны государственных структур.

Соучредитель Hunted Labs Хейден Смит заявил, что подобные проекты вызывают беспокойство. «Каждый фрагмент кода в таких проектах не обязательно попадает под подозрение, но популярные пакеты, не находящиеся под внешним контролем, легко могут быть скомпрометированы. В целом, сообщество разработчиков ПО с открытым исходным кодом должно уделять больше внимания этому риску и минимизировать его», — заявил Смит.

Ответ Малиночкина на исследование и подозрения Hunted Labs:

«Проект fast‑glob — популярное решение для поиска файлов по шаблонам в файловой системе. Более 7 лет (с 2016 года) я разрабатываю и поддерживаю этот проект самостоятельно. Проект был начат до моего начала работы в «Яндексе», и его разработка или поддержка никогда не входили в мои профессиональные обязанности в компании. Я выпустил этот проект с открытым исходным кодом ещё в 2016 году, полагая, что он может быть полезен разработчикам, и рад, что так получилось.
. . .
Я поддерживаю проект в одиночку, поскольку за эти годы сообщество не выразило потребности в более активном участии. Это типично для решений инфраструктурного уровня, с которыми пользователи не взаимодействуют напрямую. Я всегда открыт для вклада сообщества. Также хотел бы ещё раз подчеркнуть, что как исходный код, так и distributed package полностью открыты и доступны для проверки потенциальными пользователями.

Отвечая на ваш вопрос: никто никогда не просил меня манипулировать fast‑glob, вносить скрытые изменения в проект или собирать и делиться системными данными. Я считаю, что открытый исходный код основан на доверии и разнообразии»

Оригинал
Not So Fast and Furious: Popping Fast-Glob’s Hood
https://huntedlabs.com/popping-fast-globs-hood/

BY commit -m "better"