Dependency Confusion Attack - Definição do Glossário de CI/CD
Um dependency confusion attack engana um package manager para que baixe um pacote público malicioso em vez do pacote interno pretendido, publicando uma versão mais alta de um nome interno em um registry público.
Como se defender
Use escopo ou namespace nos pacotes internos, configure o resolver para buscar nomes privados apenas no seu registry privado e nunca deixe que registries públicos sobreponham pacotes internos por versão.
Guias relacionados
Typosquatting - CI/CD Glossary DefinitionTyposquatting: Typosquatting is publishing a malicious package under a name that closely resembles a popular…
Supply Chain Attack - CI/CD Glossary DefinitionSupply Chain Attack: A supply chain attack compromises software by targeting its dependencies, build tools, o…
Binary Repository - CI/CD Glossary DefinitionBinary Repository: A binary repository is an artifact repository specialized for compiled binaries and packag…