Популярная библиотека для поиска файлов fast-glob для утилиты Node.js, которая используется более чем в 30 проектах Министерства обороны США, оказалась создана российским программистом Денисом Малиночкиным, работающим в «Яндексе» и проживающим в России, пишет The Register.
По данным американской компании Hunted Labs, fast-glob еженедельно скачивают более 79 млн раз. Её используют свыше 5 тыс. публичных проектов, а также системы Минобороны США. Библиотека имеет глубокий доступ к файловым системам, что, по мнению экспертов, создаёт потенциальные возможности для хакерских атак — от кражи данных и DoS-атак до внедрения вредоносного кода.
Малиночкин подтвердил изданию The Register, что он единственный разработчик fast-glob: «Проект был создан ещё до моей работы в „Яндексе“ и никогда не входил в мои служебные обязанности. Код полностью открыт, не имеет сетевых функций и не запускает сторонних процессов. Все действия инициирует сам пользователь. Никто никогда не просил меня внедрять скрытые функции или собирать данные. Я убеждён, что open source держится на доверии и разнообразии».
Сооснователь Hunted Labs Хэйден Смит отметил, что «не каждый кусок кода, написанный в России, автоматически подозрителен. Но популярные пакеты без внешнего контроля становятся лёгкой добычей для государства или аффилированных структур». По его словам, сообществу open source необходимо уделять больше внимания этим рискам.
В США вопросы безопасности открытого ПО стали особенно актуальными после ряда громких атак на гоструктуры, в ходе которых использовались уязвимости в сторонних библиотеках. В июльской директиве министр обороны США Пит Хегсет заявил, что Пентагон больше не будет закупать оборудование или программное обеспечение, подверженное иностранному влиянию. В теории это означает, что fast-glob должен быть исключён из инфраструктуры Минобороны.
