Библиотека fsnotify для Go насторожила сообщество: смена мейнтейнера без предупреждения

Все мы знаем это чувство, когда открываешь PR, а там — сюрприз, будто CI/CD пайплайн решил устроить вечеринку без твоего ведома. Примерно так отреагировало Go-сообщество на новость о том, что популярная библиотека fsnotify (она же — глаза и уши для отслеживания файловых событий) внезапно сменила мейнтейнера. Без громких релизов, без Changelog, просто — бац, и у пакета новый хозяин.

Смена владельца в open source — дело житейское, но тут возникли вопросы уровня «а точно ли это тот самый парень, который не сольёт API-ключи в репу?». Ведь fsnotify висит в зависимостях у тысяч проектов, включая Docker, Kubernetes и Hugo. Если бы злоумышленник получил доступ к мейнтейнерскому аккаунту, он мог бы тихо запилить вредоносный коммит, и мы бы ловили «крэбовые» ошибки на проде.

К счастью, пока всё чисто — ни бэкдоров, ни криптомайнеров. Но инцидент напомнил: supply chain атаки — это не только про npm и PyPI. Go-экосистема тоже уязвима, особенно когда один мейнтейнер держит на плечах целый зоопарк зависимостей. Мораль? Не забывайте про go.sum и подписывайте свои коммиты, иначе однажды ваш любимый пакет может превратиться в тыкву (или в RCE).

Комментарий студии METABYTE

Как разработчики, мы знаем, что доверять open source — всё равно что заказывать пиццу у незнакомца: вкусно, но вдруг там ананасы? Поэтому мы всегда проверяем зависимости и используем зеркала с проверенными версиями. А вы проверяли свои go.sum сегодня?