Irónicamente, dijo, una de las principales razones dadas para que el mundo use código fuente abierto es que es fácilmente revisable, por lo que cualquiera puede verlo para ver y detener vulnerabilidades. “Pero la realidad es que casi nadie en materia de seguridad revisa ninguna de las decenas de millones de líneas de código fuente abierto”, señaló.
«Ha habido docenas de proyectos de código abierto que intentaron implementar una mayor revisión del código predeterminado y todos fracasaron», dijo. “Una de mis citas relacionadas favoritas de todos los tiempos es: 'Pedir a los usuarios que revisen el código fuente abierto antes de usarlo es como pedir a los pasajeros de un avión que salgan del avión y lo revisen por seguridad del vuelo antes de volar'. No estoy seguro de quién dijo eso primero, pero es un resumen brillante de por qué la revisión voluntaria del código fuente abierto realmente no funciona”.
Error tipográfico
Una táctica favorita de los actores de amenazas que intentan infectar la cadena de suministro de software de código abierto es la typosquatting, la creación de paquetes con nombres similares a los legítimos para engañar a los desarrolladores involuntarios que buscan una biblioteca en particular. Por ejemplo, en 2018 un investigador descubrió que Los actores de amenazas habían creado bibliotecas falsas en el repositorio de Python. llamado 'diango', 'djago', 'dajngo', para engañar a los desarrolladores que buscan la popular biblioteca Python 'django'.
