恶意npm包在你的不和令牌之后-披露了17个新包
2021年12月8日
JFrog安全研究团队使用我们的自动化工具持续监控流行的开源软件(OSS)存储库,并向存储库维护者和更广泛的社区报告发现的任何漏洞或恶意软件包。最近,我们在PyPI存储库中披露了11个恶意软件包,这一发现表明攻击的方法变得越来越复杂。…
如何设置一个私有的、远程的和虚拟的npm注册表
2021年8月10日
管理和组织Node依赖关系的最简单方法是使用npm存储库。您需要可靠、安全、一致和高效地访问您的依赖项,这些依赖项在您的团队中共享,并且位于中心位置。包括一个设置多个注册表的地方,这些注册表可以透明地与npm客户端一起工作。随着JFrog的自由…
在远程存储库中使用排除模式的另一个案例:名称空间遮蔽(又名“依赖混淆”)攻击
2021年2月8日
更新时间:2021年6月1日。您要求,我们送货上门!更容易防止依赖混淆攻击!阅读更多-超越排除模式:具有优先级解决的安全存储库。npm Registry容易受到供应链命名空间阴影(也称为“依赖混淆”攻击)的攻击。确保你创建了npm作用域的包,并强制排除模式。长期…
如何不去关心未发行内容
2016年3月23日
你们都听说过#npmgate,也就是#unpublishgate。Azer从官方的npm注册表中删除了left-pad,一切都乱套了。今天,世界上大多数的npm构建都失败了,因为一个很小的(17行js代码!),但非常受欢迎的库被从中央存储库中删除了(这给了我们一个教训……)
存储库配置中的4个最佳实践
2015年6月9日
1.如果你正在使用多种技术(如Nuget、Maven、NPM、PyPi等),为每种技术定义一个唯一的存储库。通过这样做,您可以确保所有构建请求都被定向到正确的位置,而不是转到甚至可能没有必要包的存储库。2.…
