恶意的npm包在你的Discord令牌之后- 17个新包被披露
2021年12月08日
JFrog安全研究团队使用我们的自动化工具持续监控流行的开放源码软件(OSS)存储库,并向存储库维护者和更广泛的社区报告发现的任何漏洞或恶意包。最近,我们披露了PyPI存储库中的11个恶意包,这一发现表明,攻击的方法越来越复杂。...
帮助交付从代码到边缘的安全软件更新。
您已被重定向到JFrog网站
JFrog安全研究团队使用我们的自动化工具持续监控流行的开放源码软件(OSS)存储库,并向存储库维护者和更广泛的社区报告发现的任何漏洞或恶意包。最近,我们披露了PyPI存储库中的11个恶意包,这一发现表明,攻击的方法越来越复杂。...
管理和组织Node依赖关系最简单的方法是使用npm库。您需要可靠、安全、一致和高效地访问您的依赖项,这些依赖项在整个团队中共享,位于一个中心位置。包括一个设置多个注册表的地方,可以透明地与npm客户端一起工作。与JFrog免费…
更新日期:2021年6月1日。你要求的,我们做到了!更容易防止依赖混淆攻击!阅读更多-超越排除模式:具有优先级解析的安全存储库。npm Registry很容易受到供应链名称空间阴影的攻击,也被称为“依赖混淆”攻击。确保你创建了npm作用域的包并强制排除模式。长期…
你们都听说过#npmgate,也就是#unpublishgate。Azer从官方npm注册表中删除了左垫,然后一切都乱了套。今天世界上大多数的npm构建都失败了,因为一个很小的(17行js代码!),但非常流行的库从一个中央库中被删除了(这给了我们一个教训…
1.如果您正在使用几种技术(例如Nuget、Maven、NPM、PyPi等),为每种技术定义一个惟一的存储库。通过这样做,您可以确保所有构建请求都被定向到正确的位置,而不是转到一个甚至可能没有必要包的存储库中。2....
Node大受欢迎的主要原因是它蓬勃发展的生态系统。同样,众所周知,这个生态系统增长的主要原因是npm (Node的包管理器)。npmjs.org的使用已经暴涨,统计数据显示每天有超过400万个软件包被下载,超过68000个软件包公开可用,而且这个数字还在继续上升。事实上,…
