攻击可能转移至其他途径OWASP孵化项目中CVE Lite CLI的维护者Sonu Kapoor表示GitHub更改设置或迫使供应链攻击转移途径无法消除npm供应链风险攻击者仍可转向其他途径。安全医疗设备公司Threat Detective的总监Alan Parkinson称更老练的攻击者早已绕过该漏洞V12主要对不太老练的威胁行为者关上了门。GitHub首席工程师Zach Steindler表示供应链攻击迫使他们更改默认设置这些更改是提供高影响力安全默认设置的好方法。更改姗姗来迟Greyhound Research首席分析师Sanchit Vir Gogia表示GitHub是最后一个更改默认设置的代码仓库npm只是最终采用了规则。Steindler未反驳该观点称现在是做出改变的时候了。Gogia认为这一更改虽姗姗来迟但却是好举措是控制理念的改变。不良默认设置成为基础设施Gogia认为npm拖延是因其有风险的默认设置有支持者不良默认设置会成为基础设施关闭它是根本性变革。责任转移这一更改的真正压力来自监管机构责任转移使不安全默认设置站不住脚。Kapoor认同长期使用的程序使安全漏洞存在时间更长更改默认设置会打破npm生态系统固有假设包管理器正从隐式信任转向显式信任。痛苦中的价值网络安全顾问、FormerGov执行董事Brian Levine认为堵住安全漏洞意义重大npm更改默认设置改变了全球企业开发环境安全态势新流程或提高安全性创建可审计记录对受监管行业尤为重要。相关主题GitHub、版本控制系统、软件开发、漏洞、安全