Un artículo de Cal Paterson critica la creciente adopción de 'dependency cooldowns' como respuesta a los ataques en la cadena de suministro de software. Estos cooldowns, que retrasan la adopción de nuevas versiones de paquetes, se basan en la idea de que los problemas se detectarán antes de que los usuarios los adopten. Sin embargo, Paterson argumenta que este enfoque crea un sistema de 'free-riding', donde aquellos que no implementan los cooldowns se convierten en involuntarios 'beta testers' para los demás. Además, la implementación de cooldowns es compleja, requiere esfuerzo de múltiples partes y es fácilmente evitable. Paterson propone una alternativa: las 'colas de subida' (upload queues), donde los paquetes se publican pero no se distribuyen inmediatamente, permitiendo la ejecución de pruebas de seguridad, análisis de código y notificaciones a los mantenedores. Esta solución aborda el problema de forma centralizada, elimina la necesidad de configuración individual y reduce el riesgo de ataques, especialmente relevante en el contexto de la creciente integración de LLMs y el uso de Markdown como formato ejecutable.
Noticias agregadas con IA