Dependency Confusion Attack - CI/CD用語集の定義
dependency confusion attack は、内部名のより高いバージョンを公開 registry に公開することで、意図した内部パッケージの代わりに悪意ある公開パッケージを package manager に取得させる攻撃です。
防御の方法
内部パッケージにスコープや namespace を付け、resolver がプライベートな名前を自分のプライベート registry からのみ取得するよう構成し、公開 registry がバージョンによって内部パッケージを上書きできないようにしましょう。
関連ガイド
Typosquatting - CI/CD Glossary DefinitionTyposquatting: Typosquatting is publishing a malicious package under a name that closely resembles a popular…
Supply Chain Attack - CI/CD Glossary DefinitionSupply Chain Attack: A supply chain attack compromises software by targeting its dependencies, build tools, o…
Binary Repository - CI/CD Glossary DefinitionBinary Repository: A binary repository is an artifact repository specialized for compiled binaries and packag…