本文批评了依赖冷却期作为应对供应链攻击的新兴做法,认为这造成了搭便车问题,谨慎用户从其他不知情的早期使用者身上获益。虽然表面上对个体有益,但该方法将安全风险转嫁给早期采用者,并未解决发布与分发耦合的根本问题。作者认为这创建了一个不可持续且道德上有问题的生态系统,需要所有包管理器实现复杂的冷却期系统。
背景
软件供应链攻击日益普遍,恶意代码被插入到流行依赖包中。行业一直在探索各种缓解策略,包括依赖冷却期——延迟采用新版本包。
- 来源
- Lobsters
- 发布时间
- 2026年4月14日 19:34
- 评分
- 7.0 / 10