Cette vulnérabilité représente une menace importante pour les référentiels appartenant à des organisations réputées telles que Google.
1 « J'aime »
J’avais vu récemment des articles sur un souci de Github de fork massif des projets avec modification de l’original avec un code nocif. C’est déjà casse-pieds mais là c’est encore + insidieux. Le clonage massif, quand c’est robotisé github le detecte assez bien (cela en rate quelques-uns (donc bien trop)) mais le clonage manuel passerait bien
Et ici en resumé
–Bidule utilise le code de toto en dépendance pour son projet
– toto decide de changer de nom, le code de Bidule passe sans problème sur le nouveau nom malgré que ce soit encore toto dans son code
– mais si un « toto » reapparait il bascule sur ce nom toto
Incompréhensible que l’on puisse faire un compte avec un nom ayant déjà existé. C’est un peu comme le mail hotmail que j’ai supprimé, si n’importe qui pouvait refaire ce nom d’utilisateur il aurait accès aux qq sites que j’ai (peut être) raté.
Pour les prises de contrôle de vieux compte c’est + compliqué à gerer mais je n’ai pas l’impression que ce soit le scenario le plus utilisé ici, surement bien plus difficile que de faire un nouveau compte sur un ancien nom
2 « J'aime »
Donc rien de nouveau sous le soleil.
Et sinon, c’est quoi un « référentiel » ?
Sinon il y avait aussi le problème de l’utilisation de packages privés en tant que dépendances, et si quelqu’un créait un package public portant le même nom, celui-ci était préféré au « privé », d’où ici aussi, l’injection de code externe sans même forcer la porte !
C’est le dépôt (ou repository british)…