Vertraust du dem, was du installierst, wenn du cargo add oder pip install ausführst? 🧵

Von Typosquatting-Kampagnen, die Milliarden von Downloads anvisieren, bis hin zu selbstreplizierenden Würmern und mehrjährigen Reputationsaufbau. Der kürzliche NPM-Angriff, der fast 500 Pakete kompromittierte, ist nur ein Beispiel für zunehmend ausgeklügelte Angriffe auf die Lieferkette.

Aber moderne Abwehrmechanismen wie Trusted Publishing werden in verschiedenen Ökosystemen entwickelt, um implizites Vertrauen in explizite, überprüfbare Garantien umzuwandeln.