Этого джина обратно в бутылку уже не загнать - "npm install" и в продакшн больше невозможен, а с ним и быстрая разработка. Двойной code review не поможет - это костыль. Безопасность кода была основана на доверии к Community и негласном табу на Malicious code. Ну а теперь....если Украинцам можно "кирпичить" железо по Русским IP, то почему Пакистанцам нельзя этого делать по IP Индии? Или Китайцам по всей us-us локали? Или Netgear атаковать устройства конкурентов? Классический open source умер в Марте 2022.
Возможное решение - введение каких-то форм ответственность разработчиков. Скажем переход от trust-based community к stake-based. Как в крипте - накосячил, зловреда накодил - теряешь Stake в инфраструктуре репозитария, доход с него, деанонишся и пожизненно теряешь доступ к любым репозитариям.
Этого джина обратно в бутылку уже не загнать - "npm install" и в продакшн больше невозможен, а с ним и быстрая разработка. Двойной code review не поможет - это костыль. Безопасность кода была основана на доверии к Community и негласном табу на Malicious code. Ну а теперь....если Украинцам можно "кирпичить" железо по Русским IP, то почему Пакистанцам нельзя этого делать по IP Индии? Или Китайцам по всей us-us локали? Или Netgear атаковать устройства конкурентов? Классический open source умер в Марте 2022.
Возможное решение - введение каких-то форм ответственность разработчиков. Скажем переход от trust-based community к stake-based. Как в крипте - накосячил, зловреда накодил - теряешь Stake в инфраструктуре репозитария, доход с него, деанонишся и пожизненно теряешь доступ к любым репозитариям.