После ухода вендоров сидим на зеркалах npm и pypi, как понять что не подсунули дичь?

[sierra1]

После того как вендоры поотваливались, сидим на зеркалах и прокси для npm, pypi и docker hub. И вот червячок гложет: а как понять что в зеркале мне не подсунули кривой или подмененный пакет? Раньше особо не думал, тянул с официальных реестров и норм. Сейчас цепочка длиннее и доверия меньше. Чем вы контролируете целостность зависимостей когда источник уже не первичный?

[deepghost]

Базово это lock-файлы с хешами. npm ci ставит строго по package-lock с проверкой integrity, pip умеет режим с проверкой хешей, poetry и pdm тоже фиксируют хеши. Если хеш не сошёлся, сборка падает. Это не панацея, но подмену уже не протащат незаметно. Главное чтобы lock-файл сам не правили абы как и ревьюили его изменения как код.

[olgerd]

Мы подняли свой Nexus как проксирующий репозиторий, сборочные агенты в интернет напрямую не ходят вообще, только через него. Плюсы: кешируется, видно что реально тянется, можно блокировать пакеты по политикам. Сверху trivy и grype гоняем на образы и зависимости, syft генерит SBOM чтобы понимать что вообще приехало. Зеркало зеркалом, но если у тебя зафиксированы версии и хеши, и есть инвентарь зависимостей, то даже скомпрометированное зеркало не подсунет новое тихо.

[vlad98]

а какое зеркало то используете? яндексовое для pypi вроде живое и быстрое, а вот с npm у нас постоянно тормоза и битый кеш. вечно гадаю где меньше боли

[cudauser]

К тому что выше написали добавлю: для критичного вендорим зависимости к себе в репозиторий и собираем только из внутреннего реестра. Да, неудобно обновлять, зато сборка воспроизводимая и не зависит от того что там сегодня с внешним зеркалом. И обязательно отрезать сборочным агентам прямой выход в интернет, иначе вся защита через прокси обходится одной строчкой в Dockerfile.