🔵 عنوان مقاله
Mitigating supply chain attacks (2 minute read)
🟢 خلاصه مقاله:
pnpm v10 برای کاهش ریسک حملات زنجیره تأمین دو تغییر مهم اعمال میکند: ۱) اجرای خودکار postinstall در وابستگیها بهصورت پیشفرض غیرفعال شده و فقط بستههایی که واقعاً به اسکریپتهای ساخت نیاز دارند با اجازه صریح (whitelist/allowlist) اجرا میشوند؛ ۲) تنظیم minimumReleaseAge نصب نسخههای تازهمنتشرشده را برای مدتی بهتعویق میاندازد تا قبل از نصب، زمان لازم برای شناسایی و گزارش بستههای مخرب فراهم شود. حاصل این رویکرد، کاهش اجرای ناخواسته کد و ایجاد یک حاشیه امن برای شناسایی تهدیدات است، با هزینهای اندک در سرعت بهروزرسانی. راهکار عملی برای تیمها: مشخصکردن بستههایی که واقعاً به اسکریپت نیاز دارند و allowlist کردن آنها، و تنظیم حد انتظار مناسب برای minimumReleaseAge بر اساس سطح ریسک محیط توسعه و تولید.
#pnpm #SupplyChainSecurity #OpenSourceSecurity #JavaScript #NodeJS #DevSecOps #PackageManagers #SoftwareSupplyChain
🟣لینک مقاله:
https://pnpm.io/supply-chain-security?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Mitigating supply chain attacks (2 minute read)
🟢 خلاصه مقاله:
pnpm v10 برای کاهش ریسک حملات زنجیره تأمین دو تغییر مهم اعمال میکند: ۱) اجرای خودکار postinstall در وابستگیها بهصورت پیشفرض غیرفعال شده و فقط بستههایی که واقعاً به اسکریپتهای ساخت نیاز دارند با اجازه صریح (whitelist/allowlist) اجرا میشوند؛ ۲) تنظیم minimumReleaseAge نصب نسخههای تازهمنتشرشده را برای مدتی بهتعویق میاندازد تا قبل از نصب، زمان لازم برای شناسایی و گزارش بستههای مخرب فراهم شود. حاصل این رویکرد، کاهش اجرای ناخواسته کد و ایجاد یک حاشیه امن برای شناسایی تهدیدات است، با هزینهای اندک در سرعت بهروزرسانی. راهکار عملی برای تیمها: مشخصکردن بستههایی که واقعاً به اسکریپت نیاز دارند و allowlist کردن آنها، و تنظیم حد انتظار مناسب برای minimumReleaseAge بر اساس سطح ریسک محیط توسعه و تولید.
#pnpm #SupplyChainSecurity #OpenSourceSecurity #JavaScript #NodeJS #DevSecOps #PackageManagers #SoftwareSupplyChain
🟣لینک مقاله:
https://pnpm.io/supply-chain-security?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
pnpm.io
Mitigating supply chain attacks | pnpm
Sometimes npm packages are compromised and published with malware. Luckily, there are companies like [Socket], [Snyk], and [Aikido] that detect these compromised packages early. The npm registry usually removes the affected versions within hours. However…