通过域接管劫持Npm包:这种“新”攻击有多严重?
2022年5月24日
当依赖于来自非商业实体的第三方包时,总是存在缺乏支持的风险,特别是涉及到过时的包和版本时。如果包停止维护,就没有人会实现我们可能需要的新特性或修复新发现的安全漏洞。例如,考虑CVE-2019-17571。一个关键的…
当依赖于来自非商业实体的第三方包时,总是存在缺乏支持的风险,特别是涉及到过时的包和版本时。如果包停止维护,就没有人会实现我们可能需要的新特性或修复新发现的安全漏洞。例如,考虑CVE-2019-17571。一个关键的…
现代软件项目大多由开源代码组成。在发现Log4Shell漏洞后,谁真正控制这段代码以及谁负责检测和修复软件供应链安全问题的问题成为了人们关注的一个重要来源。在最近的发展中,非常流行的颜色和伪造的npm…
