Det är alldeles för enkelt att ladda upp skadliga paket i öppen källkod, skriver Googles säkerhetsblogg.

”Till skillnad från app-butiker för mobiler, som kan skanna och ta bort skadliga bidrag, har paketkataloger begränsade resurser för att granska de tusentals dagliga uppdateringarna och måste ha en öppen modell där vem som helst fritt kan bidra. Som ett resultat av detta laddas skadliga paket, som ua-parser-js och node-ipc regelbundet upp till populära kataloger trots att de arbetar mot detta, och ibland med förödande konsekvenser för användarna”, skriver Caleb Brown vid Googles säkerhetsteam för öppen källkod.

För att åtgärda detta argumenterar Googles säkerhetsteam att större investeringar behöver göras i att granska datapaket. En öppen standard för att rapportera skulle då kunna hjälpa till att centralisera analysresultaten och erbjuda konsumenter en trovärdig plats att utvärdera paket som de överväger att använda.

Google, som är en del av Open Source Security Foundation (OpenSFF), stödjer också användningen av OpenSFF:s Package Analysis-projekt.

Läs också: Nytt gratisverktyg skannar öppen källkod efter skadlig kod