文件名称:snync:缓解依赖混淆供应链安全风险的安全问题
文件大小:1012KB
文件格式:ZIP
更新时间:2024-08-13 05:50:27
JavaScript
同步 缓解依赖混淆供应链安全风险的安全问题 关于 预防和检测您是否容易受到依赖混淆供应链安全攻击 介绍 当您管理私有开源包时,出于诸如保持知识产权私有等原因,这些包将通过私有注册表托管和提供,或需要授权。 根据定义,这些包不会存在于公共注册表中。 但是,当包名在没有保留命名空间(例如,在 npm 中也称为作用域)的情况下使用时,它们通常可以*地被 Internet 上的任何其他用户注册并创建潜在的依赖混淆攻击向量。 攻击表现为用户配置错误和包管理器设计不良的混合,这将导致从公共注册表而不是私有注册表下载包。 它是如何工作的? 该工具检测两种潜在的依赖混淆危害: 易受伤害的 可疑的 易受伤害的 实际易受攻击的包的一种情况是,当检测到某个包名在项目中使用时,但未在公共注册表中注册相同的包名。 您可以在 npm 项目中轻松模拟这种情况的真实示例: 编辑 package.json 文件
【文件预览】:
snync-main
----.gitignore(1KB)
----package.json(6KB)
----Contributor-Agreement.md(6KB)
----package-lock.json(1.31MB)
----src()
--------main.js(3KB)
--------RepoManager.js(1KB)
--------Parser.js(2KB)
--------RegistryClient.js(821B)
----bin()
--------snync.js(1KB)
----SECURITY.md(2KB)
----LICENSE(549B)
----.github()
--------PULL_REQUEST_TEMPLATE.md(2KB)
--------ISSUE_TEMPLATE.md(207B)
--------CODEOWNERS(48B)
--------ISSUE_TEMPLATE()
--------workflows()
----.prettierrc.json(154B)
----.prettierignore(22B)
----__tests__()
--------app.test.js(3KB)
--------__fixtures__()
--------__snapshots__()
----jsdoc.json(429B)
----babel.config.json(192B)
----README.md(6KB)
----.eslintignore(26B)