Телеграмм чат группы uwdcconf страница 3155

https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610

Medium

Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies

The Story of a Novel Supply Chain Attack

21:45пожаловаться #1

Исследователь рассказал как он смог запустить свой код на серверах большого количества компаний

21:45пожаловаться #2

Основная идея - размещение пакетов для различных языков программирования в публичных репозиториях с именами, которые совпадают с приватными пакеты, использующимися внутри компании

21:47пожаловаться #3

Типа вы у себя в закрытом проекте делаете npm i my-company-package, который должен поставиться из приватного фида, но кто-то залил пакет с таким же названием на npmjs и вуаля, вы получили чужой пакет

21:49пожаловаться #4

Причем имена таких пакетов иногда нужно угадать, а иногда можно просто подсмотреть, так как тот же packages.json, как показывает исследование автора, довольно часто включается в итоговые артефакты

21:50пожаловаться #5

Changes to Azure Artifact Upstream Behavior | Azure DevOps Blog

Azure Artifacts уже анонсировали изменения для защиты от подобных атак - https://devblogs.microsoft.com/devops/changes-to-azure-artifact-upstream-behavior/

Azure DevOps Blog

We live in a world that has walls and those walls need to be guarded by people with swords. Eh… not a literal sword in this case😀, but with behaviors that can help keep your assets more secure and protect against bad actors.

21:52пожаловаться #6

Скорее всего за ними последуют и другие провайдеры репозиториев

21:52пожаловаться #7

Хотя решать проблему скорее всего стоит на уровне пакетных менеджеров

21:53пожаловаться #8

Я может не правильно понял, но в том же package.json что бы поставить Не приватный пакет надо указать полный путь на репозиторий этого пакета, разве нет?

21:58пожаловаться #9

Тоже самое когда форкаешь публичный пакет, допиливаешь под себя и указываешь репозиторий откуда ставить этот пакет

21:59пожаловаться #10

Ну почему, чтобы поставить публичный пакет из npmjs ты просто укажешь его имя - jQuery, к примеру

22:01пожаловаться #11

Тоже самое с приватным пакетом из приватного фида, если фид добавлен в источники

22:02пожаловаться #12

Ну если это публичный пакет, то да, а если не публичный? Если не публичный, то он должен знать откуда ему тянуть его, тоесть должен иметь источник

22:03пожаловаться #13

В компаниях часто используют свои фиды для этого. Ставят artfactory, или подключают myget, github packages и тд. Добавляют их как доп. источник пакетов

22:04пожаловаться #14

npm config set registry https://www.myget.org/F/your-feed-name/npm/

22:05пожаловаться #15

Я так понимаю проблема в приоритетах? Что он чекает сначала публичные, а потом уже частные?

22:05пожаловаться #16

Ага

22:05пожаловаться #17

George Drak

Да, я знаю, как-то очень давно работал с этим, организовывали микрорепы под переиспользуемые компоненты и делали типа такого

@companyname/componentname: ^1.1.1

22:07пожаловаться #18

Там что чудесно, npm позволяет выполнить произвольный код при установке пакета. То есть даже запускать или собирать приложение не потребуется

22:09пожаловаться #19

George Drak

А у yarn такая же беда?