Страсти опенсорса: мафия, стилеры и багхантинг проектов «Яндекса»

[NotSadMan]

Вроде даже и причин особо нет чтоб с ним связываться

[rakovskij_stanislav]

Привет! Да вроде и не стояла задача связываться с ним)

После публикации с нами сконтачились несколько человек, близких к багбаунти-программе Яндекса, и подтвердили, что Thomas Anderson действительно существует, это никнейм топового исследователя, он есть в Зале Славы бб-программы Яндекса.

Такие истории с багхантерами и пентестерами в любом случае необходимо детектировать и освещать. По крайней мере потому, что это позволит разработчикам и девсекопсам увидеть, что такие supply-chain-атаки имеют место в реальных сценариях (torch, бб Яндекса), а значит надо проверить, достаточно ли текущих мер для того, чтобы оставаться в безопасности от этого вектора :)