В мае я кидал пост о том, что Hunted Labs обнаружили в крупных проектах Go-шный пакет разрабатывающийся ВК https://t.me/tech_b0lt_Genona/5315 Теперь ещё одно "открытие" от них же Минобороны США использует открытую утилиту fast-glob разработчика из РФ, автор ответил на вопросы безопасности проекта https://habr.com/ru/news/941484/ По информации иностранных СМИ (The Register, Hunted Labs), в информационных системах Министерства обороны США активно используется открытая утилита fast‑glob от разработчика из РФ Дениса Малиночкина (mrmlnc), который работает в «Яндексе». fast‑glob — это очень быстрая и эффективная библиотека для Node.js, которая разрабатывается с 2016 года. Она широко используется в тысячах проектов, включая более 30 систем Министерства обороны США. По информации профильных источников, нет никаких доказательств вредоносной активности в этом проекте. Но эксперты по кибербезопасности предупреждают, что отсутствие контроля за столь критически важными проектами с открытым исходным кодом делает их уязвимыми для потенциального использования со стороны государственных структур. Соучредитель Hunted Labs Хейден Смит заявил, что подобные проекты вызывают беспокойство. «Каждый фрагмент кода в таких проектах не обязательно попадает под подозрение, но популярные пакеты, не находящиеся под внешним контролем, легко могут быть скомпрометированы. В целом, сообщество разработчиков ПО с открытым исходным кодом должно уделять больше внимания этому риску и минимизировать его», — заявил Смит. Ответ Малиночкина на исследование и подозрения Hunted Labs: «Проект fast‑glob — популярное решение для поиска файлов по шаблонам в файловой системе. Более 7 лет (с 2016 года) я разрабатываю и поддерживаю этот проект самостоятельно. Проект был начат до моего начала работы в «Яндексе», и его разработка или поддержка никогда не входили в мои профессиональные обязанности в компании. Я выпустил этот проект с открытым исходным кодом ещё в 2016 году, полагая, что он может быть полезен разработчикам, и рад, что так получилось. . . . Я поддерживаю проект в одиночку, поскольку за эти годы сообщество не выразило потребности в более активном участии. Это типично для решений инфраструктурного уровня, с которыми пользователи не взаимодействуют напрямую. Я всегда открыт для вклада сообщества. Также хотел бы ещё раз подчеркнуть, что как исходный код, так и distributed package полностью открыты и доступны для проверки потенциальными пользователями. Отвечая на ваш вопрос: никто никогда не просил меня манипулировать fast‑glob, вносить скрытые изменения в проект или собирать и делиться системными данными. Я считаю, что открытый исходный код основан на доверии и разнообразии» Оригинал Not So Fast and Furious: Popping Fast-Glob’s Hood https://huntedlabs.com/popping-fast-globs-hood/