В Пентагоне обнаружили софт, разработанный сотрудником «Яндекса»

Известная библиотека fast-glob, используемая для поиска файлов в Node.js и задействованная более чем в 30 проектах Министерства обороны США, была разработана российским программистом Денисом Малиночкиным, работающим в «Яндексе» и проживающим в России, сообщает издание theregister.

По информации компании Hunted Labs, fast-glob скачивается свыше 79 миллионов раз в неделю. Она применяется в более чем 5 тысячах публичных проектов, включая системы Минобороны США. Эта библиотека имеет расширенный доступ к файловым системам, что, по мнению специалистов, создает риски для кибербезопасности, такие как кража информации, атаки типа DoS и возможность внедрения вредоносного ПО.

Малиночкин подтвердил The Register, что является единственным разработчиком fast-glob: «Проект был запущен до моей работы в „Яндексе“ и никогда не входил в сферу моих профессиональных обязанностей. Исходный код полностью открыт, не имеет сетевых возможностей и не запускает сторонние процессы. Все действия инициируются пользователем. Никто не просил меня добавлять скрытые функции или собирать данные. Я уверен, что open source основывается на доверии и разнообразии».

Сооснователь Hunted Labs Хэйден Смит отметил, что «не каждый фрагмент кода, написанный в России, вызывает автоматическое подозрение. Однако популярные пакеты без внешнего контроля могут стать легкой мишенью для государства или аффилированных структур». Он добавил, что сообществу open source необходимо больше внимания уделять этим угрозам.

В США вопросы безопасности открытого программного обеспечения стали особенно важными после ряда резонансных атак на государственные структуры, осуществленных через уязвимости в сторонних библиотеках. В июльском указе министр обороны США Пит Хегсет заявил, что Пентагон больше не будет приобретать оборудование или ПО под влиянием иностранных источников. В теории это может означать, что fast-glob будет исключен из инфраструктуры Минобороны.