俄罗斯开发者维护的Node.js工具引发安全担忧
2025-08-28
一款名为fast-glob的Node.js实用程序,被数千个公共项目(包括30多个美国国防部项目)使用,其唯一的维护者似乎是居住在俄罗斯的Yandex员工。虽然该工具本身没有已知的漏洞,但其对系统的深度访问权限以及维护者与俄罗斯公司Yandex的关系,引发了安全担忧。美国网络安全公司Hunted Labs的报告指出,fast-glob每周下载量超过7900万次,潜在的攻击面巨大。该事件再次强调了开源软件安全的重要性,以及了解代码编写者的重要性。
科技
地缘政治风险