锁文件的两难困境:为何确定性构建的守护者成了攻击者的捷径
2019年,安全研究员 Liran Tal 做了一个实验。他向一个开源项目提交了一个看似普通的 Pull Request,添加了两个依赖包,代码审查一切正常——包名正确、版本有效、没有 typosquatting 痕迹。PR 被合并了。 ...
2019年,安全研究员 Liran Tal 做了一个实验。他向一个开源项目提交了一个看似普通的 Pull Request,添加了两个依赖包,代码审查一切正常——包名正确、版本有效、没有 typosquatting 痕迹。PR 被合并了。 ...