Dependency Confusion Defense - Definição do Glossário de CI/CD
A dependency confusion engana um build para instalar um pacote público que sombreia um interno privado. As defesas dão escopo aos nomes de pacote, restringem qual registry é confiável e forçam um lockfile.
Dependency confusion é um ataque de supply-chain em que um atacante publica um pacote público com o mesmo nome de um pacote interno privado, enganando um build para buscar a versão pública maliciosa; as defesas incluem namespaces com escopo, registries fixados por pin e enforcement de lockfile.
O ataque explora resolvers que preferem a maior versão entre todos os registries configurados, incluindo os públicos.
Defesas
Use um namespace ou escopo que você controla para pacotes internos, configure o package manager para resolver esses nomes apenas a partir do seu registry privado, e instale a partir de um lockfile commitado para que versões inesperadas sejam rejeitadas.