Минобороны США использует Node.js-пакет, который пишет россиянин

Минобороны США использует Node.js-пакет, который пишет россиянин

Минобороны США использует Node.js-пакет, который пишет россиянин

Американская компания Hunted Labs подняла тревогу: один из самых популярных Node.js-пакетов — fast-glob — фактически держится на одном человеке. При этом библиотека используется тысячами проектов по всему миру, включая более 30 систем Минобороны США.

Речь идёт об утилите для поиска файлов по шаблонам. Её автор — разработчик под ником mrmlnc. GitHub-аккаунт и личный сайт связывают его с Яндексом: по данным Hunted Labs, это Денис Малиночкин, живущий в Подмосковье.

С точки зрения безопасности ситуация вызывает вопросы: пакет скачивают более 79 миллионов раз в неделю, он встроен в Node.js-контейнеры и тысячи публичных и частных проектов.

Хотя у fast-glob нет зарегистрированных уязвимостей, библиотека имеет доступ к файловым системам, а значит, теоретически может использоваться для кибератак.

Hunted Labs подчёркивает: сам факт того, что у проекта нет внешнего контроля и дополнительных мейнтейнеров, делает его потенциальной мишенью для злоупотреблений.

«Не каждый кусок кода, написанный россиянином, подозрителен сам по себе. Но такие популярные пакеты без надзора — удобная цель для злоумышленников или государственных структур», — отметил сооснователь Hunted Labs Хейден Смит.

После публикации отчёта сам Малиночкин связался с журналистами. Он подтвердил, что действительно является единственным разработчиком fast-glob, но отверг любые предположения о «скрытых» функциях:

«Никто никогда не просил меня манипулировать проектом, встраивать скрытые изменения или собирать системные данные. Я считаю, что open source строится на доверии и разнообразии», — заявил разработчик изданию The Register он.

В Пентагоне пока не прокомментировали, будут ли отказываться от использования fast-glob.

Эксперты же сходятся в одном: сообществу open source нужно внимательнее следить за тем, кто и как поддерживает критичные проекты. Ведь как выразились в Hunted Labs, «открытому ПО не нужен CVE, чтобы быть опасным. Достаточно доступа, незаметности и беспечности».

Карты и Навигатор Яндекса научились искать заправки без очередей

Яндекс обновил сервисы для водителей: теперь Карты и Навигатор показывают, есть ли на конкретной АЗС топливо и насколько велика очередь. Всё это видно прямо в карточке заправки, там же можно сразу построить маршрут.

Данные об очередях появились и в «Яндекс Go» с «Заправками». Функция уже работает в Москве, Санкт-Петербурге и ещё 14 крупных городах, включая Казань, Екатеринбург, Краснодар, Новосибирск, Самару и Челябинск.

Информацию собирают сразу из нескольких источников. Яндекс анализирует обезличенные данные о заказах топлива, сведения от таксистов в «Яндекс Про» и дорожную ситуацию рядом с АЗС. Плюс подключили самих водителей: тем, кто заправился или просто проехал мимо станции, могут предложить короткий опрос.

 

Ещё одно нововведение — экономичные маршруты. Карты и Навигатор теперь могут предложить путь, на котором машина потратит меньше топлива. Он не обязательно будет самым быстрым, зато может оказаться выгоднее за счёт более плавной скорости и меньшего числа светофоров.

Получается, маршрут теперь можно выбирать не только по принципу «где быстрее», но и «где не сжечь полбака и не провести вечер в очереди».

Пока функция доступна только там, где Яндекс получает достаточно регулярных и достоверных данных. В остальных городах её обещают включать по мере накопления информации.

RSS: Новости на портале Anti-Malware.ru