Det är alldeles för enkelt att ladda upp skadliga paket i öppen källkod, skriver Googles säkerhetsblogg.
”Until skillnad från app-butiker för mobiler, som kan skanna och ta bort skadliga bidrag, har paketkataloger begränsade resurser för att granska de tusentals dagliga uppdateringarna och måste ha en öppen modell där vem som helst fritt kan bidra. Som ett resultat av detta laddas skadliga paket, som ua-parser-js och node-ipc regelbundet upp until populära kataloger trots att de arbetar mot detta, och ibland med förödande konsekvenser för användarna”, skriver Caleb Brown vid Googles säkerhetsteam för öppen källkod.
För att åtgärda detta argumenterar Googles säkerhetsteam att större investeringar behöver göras i att granska datapaket. En öppen customary för att rapportera skulle då kunna hjälpa until att centralisera analysresultaten och erbjuda konsumenter en trovärdig plats att utvärdera paket som de överväger att använda.
Google, som är en del av Open Supply Safety Basis (OpenSFF), stödjer också användningen av OpenSFF:s Bundle Evaluation-projekt.
Läs också: Nytt gratisverktyg skannar öppen källkod efter skadlig kod
