От ошибки до катастрофы: преувеличение опасности в мире CVE

🤔 Фёдор Индутный, автор платформы Io.js (форк Node.js) и член технического комитета по разработке Node.js, высказал опасения относительно назначения CVE-идентификаторов для ложных отчетов об уязвимостях, не соответствующих реальной угрозе.

🛠 Присвоение идентификаторов происходит без адекватной проверки, в результате чего проекты сталкиваются с незаслуженной критикой и нагрузкой.

📉 В недавнем случае с библиотекой node-ip ложное присвоение CVE-идентификатора привело к уменьшению её популярности и к увеличению количества обращений к разработчикам, создав дополнительные трудности для команды.

#CVE #NodeJS #Уязвимости @SecLabNews

🔒 79 млн загрузок в неделю: российский код в американских военных системах

Библиотека fast-glob используется более чем в 5 тысячах публичных проектов и более чем в тридцати системах Министерства обороны США. Её загружают свыше 79 миллионов раз в неделю, а с учётом закрытых систем число зависимых решений может быть гораздо выше.

Единственным автором оказался российский программист Денис Малиночкин, сотрудник «Яндекса», который разрабатывает проект уже более семи лет. Американская компания Hunted Labs подчеркнула, что никаких связей разработчика с хакерскими группировками не выявлено.

Хотя у библиотеки нет зарегистрированных уязвимостей, эксперты указывают на теоретические риски из-за широкого доступа к файловым системам. Сам Малиночкин подтвердил авторство и подчеркнул, что утилита работает исключительно локально без сетевых функций.

#OpenSource #CyberSecurity #NodeJS

@SecLabNews