Skip to content
Latchkey

Supply Chain Attack - Definição do Glossário de CI/CD

Um supply chain attack compromete o software atacando suas dependências, ferramentas de build ou canal de distribuição, em vez de atacar a aplicação diretamente, de modo que código malicioso alcança muitas vítimas de uma só vez.

No CI

As defesas incluem fixar dependências por hash, gerar um SBOM, assinar artifacts e executar os builds em ambientes isolados de menor privilégio, para que uma dependência envenenada não consiga exfiltrar secrets.

Guias relacionados