Důvěřujete tomu, co instalujete, když spustíte cargo add nebo pip install? 🧵

Od typosquattingových kampaní cílených na miliardy stažení až po sebereplikující se červy a mnohaleté budování reputace. Nedávný útok NPM, který kompromitoval téměř 500 balíčků, je jen jedním z příkladů stále sofistikovanějších útoků na dodavatelský řetězec.

Napříč ekosystémy se však budují nejmodernější obranné mechanismy, jako je Trusted Publishing, aby se implicitní důvěra proměnila v explicitní a ověřitelné záruky.