Вы доверяете тому, что устанавливаете, когда запускаете cargo add или pip install? 🧵

От кампаний по опечаткам, нацеленных на миллиарды загрузок, до самовоспроизводящихся червей и многолетнего построения репутации. Недавняя атака на NPM, в результате которой были скомпрометированы почти 500 пакетов, является лишь одним из примеров все более сложных атак на цепочку поставок.

Но современные средства защиты, такие как Доверенная публикация, создаются в различных экосистемах, чтобы превратить неявное доверие в явные, проверяемые гарантии.