ValdikSS, думаю, что если Ральф Винтерхальтер обозлится из-за чего-то на США и сделает в ByteBuddy закладку, то Amazon точно так же её пропустит в прод, как пропустил уязвимость в log4j.
Если речь всё ещё о репозитории серьёзных LTS-дистрибутивов, то обновлённая библиотека просто не попадёт в репозитории.
Декабрьская уязвимость log4j наглядно продемонстрировала, что абсолютно все без исключения enterprise-проекты, включая мастадонтов типа Amazon и Netflix, не проверяют свои зависимости. Часто эти проекты держатся на использовании библиотек, у которых один мейнтейнер и условия использования "as is", таких как ByteBuddy например. Всё это жило на доверии к open source, но теперь энтерпрайзу придётся увеличивать все команды на 20-25%, нанимая в каждую ИБшников, которые будут заниматься постоянным аудитом зависимостей, или нанимая разработчиков для перехода с открытых решений на собственные проприетарные.
ValdikSS, и как поможет "фиксация версии по sha-хэшу коммитов"? Пусть даже речь о модулях интерпретируемого языка, что мешает мейнтейнеру библиотеки, которую использует полмира, засунуть в код деструктивные действия при выполнении на хосте с русским IP или локалью, сделать коммит и опубликовать новую версию, а другим мейнтенерам в своих библиотеках использовать эту новую версию? Вы при обновлении используемой вашей системой библиотеки просматриваете весь её код и код всех транизитивных зависимостей каждый раз?
Легко сказать! Когда у тебя тысячи микросервисов и каждый с весьма развесистые деревом зависимостей, постоянно проверять их все - огромный труд, а шанс на то, что мейнтейнер в одну из них засунет вредоносный код, стал высок. Опенсорс получил ужасный репутационный урон.
