devsecops
Безопасность в пайплайне начинается там, где обычно про неё забывают, в зависимостях. Здесь разбирают свежие supply-chain атаки: тайпсквоттинг в npm пачками по сотне пакетов, кражу CI-токенов через подмену библиотек, трояны в популярных зависимостях. Отдельная боль для СНГ это жизнь на зеркалах npm и pypi после ухода вендоров и проверка, что в локальный реестр не подсунули модифицированный пакет. Полезно тем, кто внедряет lockfile-аудит, SCA-сканеры и подпись артефактов, чтобы не тащить в прод весь интернет вслепую.
5 тем, 26 ответов, 28 просмотров · все теги
- Темы
-
- Сколько можно тащить в прод весь npm, supply-chain уже достал
в «Кибербезопасность и пентест» · 7 ответов · 8 просмотров · 12 июн 2026, 08:52
-
- Очередная волна тайпсквоттинга в npm: 140+ вредоносных пакетов за неделю. Чем защищаете сборку?
в «Кибербезопасность и пентест» · 5 ответов · 6 просмотров · 10 июн 2026, 02:47
-
- Очередной supply-chain в npm: 19 пакетов воровали CI-токены. Как защищаете свои пайплайны?
в «Кибербезопасность и пентест» · 4 ответов · 4 просмотров · 08 июн 2026, 18:36
-
- После ухода вендоров сидим на зеркалах npm и pypi, как понять что не подсунули дичь?
в «Кибербезопасность и пентест» · 4 ответов · 6 просмотров · 04 июн 2026, 05:18
-
- Опять троян в npm-пакете, кто еще ставит зависимости напрямую из интернета
в «Кибербезопасность и пентест» · 6 ответов · 4 просмотров · 24 май 2026, 02:44