Реестры на песке: почему цепочки поставок ПО ломаются от одного фишинга
В 2025‑м атаки на npm, PyPI и Docker Hub показали: проблема не в «хитрых письмах», а в архитектуре реестров. Слабая аутентификация, отсутствие проверяемого происхождения артефактов и трудности с удалением заражённых образов превращают единичный инцидент в системный риск. Разбираемся, почему так происходит, и что разработчики могут сделать сами: подписи и SLSA/прованенс, закрепление версий, SBOM и непрерывное сканирование.