![](https://webcf.waybackmachine.org/web/20230212075325im_/https://habrastorage.org/getpro/habr/upload_files/12c/399/0a4/12c3990a4880cee8e3e10f47fc93efb4.png)
Задумывались ли вы о том, что находится внутри зависимостей, которые так или иначе подтягиваются в ваш код? Взять чужую библиотеку сейчас — норма жизни, но чем это обернется с точки зрения безопасности?
Последние истории с node‑ipc и CTX заставили задуматься о том, что лежит внутри этих репозиториев. Оказалось, не только легитимный код. Там есть и попытки заработать без особых усилий, просто собирая информацию, и даже полноценные стиллеры. Причем негативных изменений стало больше после известных событий.
За подробностями о сканировании пакетов npm и PyPI добро пожаловать под кат.