Незащищённость. Открытый SDK выставляет кодовую базу на всеобщее обозрение, что облегчает работу мошенникам, поскольку у них в распоряжении оказываются все явки и пароли системы.
Уязвимость для манипуляций. Открытый код оголяет логику, делая её уязвимой для манипуляций. Например, кто-то может скопировать HTTP-запрос, изменить параметры на ложные данные и отправить их на сервер.
Потеря контроля. Любой желающий может взять исходный код SDK, изменить его по своему усмотрению и интегрировать в своё приложение. Это может привести к появлению множества неконтролируемых и неизмеримых версий SDK.
Внедрение вредоносного кода. Злоумышленники могут добавлять в открытый код вредоносную функциональность. Например, из-за этого внутри приложения может оказаться чужой вредоносный код, который используется для кражи информации или различных нелегальных схем обогащения (спам, рекламное мошенничество, майнинг).
Чтобы снизить риски, рекомендуется использовать ручные и автоматические системы анализа исходного кода и мониторинга репозиториев, локальное хранение доверенных версий компонентов, сервисы Threat Intelligence - информацию об актуальных угрозах и группировках киберпреступников, которая позволяет организациям изучить цели, тактику и инструменты злоумышленников и выстроить эффективную стратегию защиты от атак.