Názor k článku Postřehy z bezpečnosti: v PyPI bylo objeveno přes sto balíčků s malwarem od ogondza - Vidím rozdíl v čase detekce: build time, startup,...

Vidím rozdíl v čase detekce: build time, startup, runtime.

Zjistit, že je máte v aplikaci backdoor až když běží je leckdy prostě pozdě a škoda už mohla být napáchána. Nepomůže ani stage, ani tam nechcete nechat těžit kryproměny. A taky může trvat pěkně dlouho, než se aplikace prozradí podezřelou interakcí, takže to před produkcí (testování, stage) ani nemusí nastat.

V neposlední řadě nechcete spoléhat na to, že útočníci zrovna nejsou o krok napřed před vašimi detekčními nástroji.

Řešení je nenechat ty binárnky uploadovat autorem, ale buldit je transparentně ze zdrojáků tak, že budeme moci ověřit, co balík dělá, pohledem do kódu.

Jak lidská tak strojová detekce je u kódu snazší, a nevyžaduje spuštění. A ne, argument že to většina lidí nedělá neobstojí, protože množství lidí, kteřý by kontrolovali ty binárnky, je ještě menší...