Supply Chain Attack - Definição do Glossário de CI/CD
Um supply chain attack compromete o software atacando suas dependências, ferramentas de build ou canal de distribuição, em vez de atacar a aplicação diretamente, de modo que código malicioso alcança muitas vítimas de uma só vez.
No CI
As defesas incluem fixar dependências por hash, gerar um SBOM, assinar artifacts e executar os builds em ambientes isolados de menor privilégio, para que uma dependência envenenada não consiga exfiltrar secrets.
Guias relacionados
Typosquatting - CI/CD Glossary DefinitionTyposquatting: Typosquatting is publishing a malicious package under a name that closely resembles a popular…
Dependency Confusion Attack - CI/CD Glossary DefinitionDependency Confusion Attack: A dependency confusion attack tricks a package manager into pulling a malicious…
Provenance - CI/CD Glossary DefinitionProvenance: Provenance is verifiable metadata describing how an artifact was built: the source commit, builde…