Confusão de Dependências - Definição do Glossário de CI/CD
Confusão de dependências é um ataque à cadeia de suprimentos em que um pacote público é publicado com o mesmo nome de um interno privado, enganando o resolvedor para que busque a versão do atacante.
Como o ataque funciona
Se um build está configurado para checar um registry público e um interno, e a cópia pública tem uma versão mais alta, muitas ferramentas silenciosamente a preferem. Alex Birsan demonstrou isso contra dezenas de grandes empresas em 2021.
Defesas
Use scoped packages vinculados ao seu registry, configure o .npmrc para mapear um scope somente para o seu registry privado e reserve seus nomes internos publicamente para que ninguém mais possa reivindicá-los.
Guias relacionados
Scoped Package - CI/CD Glossary DefinitionScoped Package: A scoped package is an npm package namespaced under an `@scope/` prefix, like `@latchkey/cli`…
Package Registry - CI/CD Glossary DefinitionPackage Registry: A package registry is a repository that hosts published software packages for a language ec…
Vendoring - CI/CD Glossary DefinitionVendoring: Vendoring is committing your dependencies source code directly into your repository (often a `vend…