Chicken Nuget
2 months ago
- #Microsoft
- #security
- #nuget
- nuget.org托管着过时且不安全的curl软件包,部分下载量接近10万次
- 微软不认为过时软件包属于漏洞问题,将责任转移给软件包所有者
- 尽管此前已有报告,但问题依然存在,表明nuget的包管理毫无改进
- 由于nuget缺乏主动安全措施,用户在不知情状态下下载了不安全软件
- 微软的回应显示出对过时软件包安全风险的漠视态度
- 作者批评nuget的运营模式助长了潜在有害软件的传播
- 缺乏有效解决方案,暴露出nuget软件包托管机制存在系统性缺陷