Skip to content
Latchkey

Confusão de Dependências - Definição do Glossário de CI/CD

Confusão de dependências é um ataque à cadeia de suprimentos em que um pacote público é publicado com o mesmo nome de um interno privado, enganando o resolvedor para que busque a versão do atacante.

Como o ataque funciona

Se um build está configurado para checar um registry público e um interno, e a cópia pública tem uma versão mais alta, muitas ferramentas silenciosamente a preferem. Alex Birsan demonstrou isso contra dezenas de grandes empresas em 2021.

Defesas

Use scoped packages vinculados ao seu registry, configure o .npmrc para mapear um scope somente para o seu registry privado e reserve seus nomes internos publicamente para que ninguém mais possa reivindicá-los.

Guias relacionados