Skip to content
Latchkey

Dependency Confusion Defense - Definição do Glossário de CI/CD

A dependency confusion engana um build para instalar um pacote público que sombreia um interno privado. As defesas dão escopo aos nomes de pacote, restringem qual registry é confiável e forçam um lockfile.

Dependency confusion é um ataque de supply-chain em que um atacante publica um pacote público com o mesmo nome de um pacote interno privado, enganando um build para buscar a versão pública maliciosa; as defesas incluem namespaces com escopo, registries fixados por pin e enforcement de lockfile.

O ataque explora resolvers que preferem a maior versão entre todos os registries configurados, incluindo os públicos.

Defesas

Use um namespace ou escopo que você controla para pacotes internos, configure o package manager para resolver esses nomes apenas a partir do seu registry privado, e instale a partir de um lockfile commitado para que versões inesperadas sejam rejeitadas.

Guias relacionados