Комментарии 3
Лучше расскажите про полное отсутствие аудита в их unity hub, что по сути позволило выполнять произвольный код на всех машинах пользователей, став одним из самых крупных ботнетов.
https://forum.unity.com/threads/unity-hub-3-1-release-overview.1253823/
А что там рассказывать? Нужно уметь искать бэкдоры, а это очень сложно, можно только предполагать по наличию в репозитории энтропии, base64, минификации, обфускации, обращение к другим процессам, запуск сомнительных команд, наличии подозрительных url и хостов. Функционал поиска бэкдоров есть у единиц софтин. Скорее поведенческий анализ эффективен, а не статический.
Коллеги, что насчет поиска уязвимостей в каком-то опенсорс решении по безопасности, например, в защите Kubernetes?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.
Повторная проверка Unity статическим анализатором PVS-Studio