16,5 тыс подписчиков
Уязвимость «Manifest Confusion» в репозитории NPM позволяет злоумышленникам прописывать скрытые зависимости
NPM, популярный менеджер пакетов для JavaScript, страдает от проблемы безопасности, называемой «Manifest Confusion». Из-за неё информация о пакетах, представленная в репозитории NPM, может не соответствовать их фактическому содержанию.
Злоумышленники могут использовать эту уязвимость для сокрытия потенциально опасных зависимостей и даже для тайной установки зловредных скриптов. Интересно, что руководство NPM знает об этой проблеме уже больше полугода, но её до сих пор не исправили.
Угроза по-настоящему опасна для многих разработчиков программного обеспечения. Как же защититься от неё, пока официальную заплатку ещё не выпустили?
#npm #javascript #manifect_confussion #безопасность
Около минуты
28 июня 2023
653 читали