«ce n'est plus un code malveillant, mais un bug à ce moment ou une erreur»
Il est tout à fait envisageable qu'un méchant pirate propose un patch en apparence positif mais qui ajoute une vulnérabilité... et dans ce cas c'est malveillant. On peut avoir confiance en la bonne volonté des auteurs principaux, mais peut-on avoir confiance en tous les contributeurs qui ont un jour proposé un patch ?
Bien sûr, si l'intégration des patches externes est soigneusement contrôlée, ça diminue les risques.
[^] # Re: introduction du code
Posté par Yusei (Mastodon) . En réponse au journal Code malveillant ?. Évalué à 3.
Il est tout à fait envisageable qu'un méchant pirate propose un patch en apparence positif mais qui ajoute une vulnérabilité... et dans ce cas c'est malveillant. On peut avoir confiance en la bonne volonté des auteurs principaux, mais peut-on avoir confiance en tous les contributeurs qui ont un jour proposé un patch ?
Bien sûr, si l'intégration des patches externes est soigneusement contrôlée, ça diminue les risques.