NuGet.org, Microsoft'a ait, .NET geliştiricileri için yazılım paketlerinin yüklendiği ve indirildiği bir hizmettir. Ancak, platforma yüklenebilecek içerik konusunda herhangi bir filtre bulunmamaktadır. Yazar, üç yıl önce NuGet'in güncel olmayan ve güvensiz curl paketlerini barındırdığını bildirmişti. Bu durumun üçüncü yıl dönümünde yapılan kontrol, benzer sorunların devam ettiğini ortaya koydu. Eski paketler kaldırılmış olsa da, yerlerine aynı derecede sorunlu yeni paketler gelmiş durumda.
Örneğin, "rmt_curl" adlı popüler bir paket, 2016 Kasım ayında piyasaya sürülen curl 7.51.0 sürümünü sunuyor. Bu sürümün şu anda bilinen 64 güvenlik açığı bulunuyor ve o zamandan beri 9.000'den fazla hata düzeltmesi yapıldı. Yaklaşık 100.000 kez indirilen ve hala haftada yaklaşık 1.000 kez indirilen bu paket, kullanıcılar için ciddi bir güvenlik riski oluşturuyor. NuGet'in bu yapısı, internetteki rastgele kişilerin oluşturduğu ve yüklediği paketlere güvenilmesine yol açıyor, bu da arka kapılar, truva atları veya diğer kötü niyetli saldırılar içerme potansiyelini artırıyor. Yüklenen paketler süresiz olarak sunulmaya devam ediyor gibi görünüyor.
Yazar, bu durumu tekrar Microsoft'a bildirmeye çalıştı ancak raporlama süreci oldukça zorluydu. E-posta raporları artık kabul edilmiyor ve genel Microsoft güvenlik raporlama sayfasında NuGet için özel bir kategori bulunmuyor. Yazarın raporu, üç yıl önceki gibi, 48 saat içinde "Bu bir Microsoft sorunu değil" denilerek kapatıldı. Bu durum, NuGet platformundaki güvenlik zafiyetlerinin ve Microsoft'un bu konudaki tutumunun değişmediğini gösteriyor.
NuGet gibi popüler bir paket yöneticisinde güncel olmayan ve bilinen güvenlik açıklarına sahip yazılımların kolayca barındırılması, milyonlarca geliştirici ve uygulamanın güvenliğini doğrudan tehlikeye atıyor.