یک نقطه ضعف امنیتی در پروژه قدیمی آپاچی به نام “Cordova App Harness” پیدا شده. این ضعف به این دلیل است که نرم افزارهای مدیریت بستهها اول سراغ مخزنهای عمومی میروند و بعد سراغ مخزنهای خصوصی. یک هکر میتواند یک بسته با اسم شبیه به بسته اصلی در مخزن عمومی قرار دهد. نرم افزار مدیریت بسته به اشتباه بسته فرد هکر را دانلود میکند. این مشکل میتواند خیلی خطرناک باشد، مثل تحقیقی که در سال ۲۰۲۳ انجام شد و نشان داد که تقریبا نصف سازمانها در مقابل چنین حملاتی آسیبپذیر هستند. بعضی از نرم افزارهای مدیریت بستهها این مشکل را حل کردهاند، اما محققان امنیتی یک مورد دیگر پیدا کردهاند که در آن پروژه قدیمی از یک بسته داخلی بدون مشخص کردن مسیر دقیق آن استفاده کرده است. از آنجایی که این پروژه در آوریل ۲۰۱۹ توسط آپاچی کنار گذاشته شده، حالا آسیبپذیر است و یک فرد هکر میتواند یک نسخه تقلبی با شماره بالاتر در مخزن عمومی قرار دهد و نرم افزار مدیریت بسته را گول بزند.
این موضوع با دانلود شدن ۱۰۰ تایی یک بسته تقلبی در مخزن “npm” برای پروژهای که دیگر کار نمیکند، اهمیت پیدا میکند. این نشان میدهد که وابستگی به پروژههای قدیمی میتواند خطرناک باشد. تیم آپاچی این مشکل را حل کرده است، اما بهتر است که از جایگزینهای عمومی برای بستههای داخلی استفاده شود تا از چنین حملاتی جلوگیری شود. این موضوع اهمیت بهروز نگهداشتن بستههای جانبی، مخصوصا در پروژههای متنباز قدیمی را نشان میدهد.
