Опять про атаку на Supply chain
Если кто не видел.
Проекты тянут внешние (по отношению к проекту) зависимости. Из внешних репозиториев и из внутренних. Сначала - из внешних. И если злоумышленник сможет подсунуть во внешний репозиторий что-то с именем, перекрывающим имя внутреннего, то именно его код и приедет на сервера.
Выявившие проблему исследователи смогли выполнить свой код на внутренних серверах 35 компаний, среди которых PayPal, Micrоsoft, Apple, Netflix, Uber, Tesla и Shopify. This entry was originally posted at https://beldmit.dreamwidth.org/936169.html. Your comment? (
comments)
Проекты тянут внешние (по отношению к проекту) зависимости. Из внешних репозиториев и из внутренних. Сначала - из внешних. И если злоумышленник сможет подсунуть во внешний репозиторий что-то с именем, перекрывающим имя внутреннего, то именно его код и приедет на сервера.
Выявившие проблему исследователи смогли выполнить свой код на внутренних серверах 35 компаний, среди которых PayPal, Micrоsoft, Apple, Netflix, Uber, Tesla и Shopify. This entry was originally posted at https://beldmit.dreamwidth.org/936169.html. Your comment? (
comments)