通过域名接管的Npm包劫持:这种“新”攻击有多严重?
2022年5月24日
当依赖于来自非商业实体的第三方软件包时,总是存在缺乏支持的风险,特别是当涉及到过时的软件包和版本时。如果包停止维护,没有人会实现我们可能需要的新功能或修复新发现的安全漏洞。例如,考虑CVE-2019-17571。一个关键的……
当依赖于来自非商业实体的第三方软件包时,总是存在缺乏支持的风险,特别是当涉及到过时的软件包和版本时。如果包停止维护,没有人会实现我们可能需要的新功能或修复新发现的安全漏洞。例如,考虑CVE-2019-17571。一个关键的……
现代软件项目大多由开源代码组成。在发现Log4Shell漏洞后,谁真正控制这些代码,谁负责检测和修复软件供应链安全问题成为了一个重要的问题。在最近的发展中,高度流行的颜色和伪造的npm…
