Schadcode in Open-Source-Paketen läuft mit denselben Rechten wie legitimer Code, wird automatisch verteilt und bleibt dabei oft monatelang unentdeckt. Ein einziges kompromittiertes Paket kann tausende Unternehmen gleichzeitig treffen. Klassische IT-Security zielt auf Netzwerke und Betriebssysteme, doch die Software-Lieferkette bleibt der blinde Fleck.