В питоновом инструментарии для репозитория пакетов PyPI была очень интересная инфраструктурная уязвимость - по сути с помощью пуллреквеста можно было заставить github actions выполнять команды (а значит просто воровать токены), ну и по мелочи - удалять роли.
Параллельно вместе с этим в некоторых не особо популярных пакетах найден скрытый логгеро номеров карт и просто откровенные бэкдоры. Короче, будьте аккуратнее с любым чужим кодом, даже если думаете что источник его доверенный https://www.theregister.com/2021/08/02/in_brief_security/
Параллельно вместе с этим в некоторых не особо популярных пакетах найден скрытый логгеро номеров карт и просто откровенные бэкдоры. Короче, будьте аккуратнее с любым чужим кодом, даже если думаете что источник его доверенный https://www.theregister.com/2021/08/02/in_brief_security/