Composer و Packagist امنیت زنجیرهی تأمین رو سفت میکنن
پیاچپیبعد از زیادشدن حملات زنجیرهی تأمین به اکوسیستم PHP (مثل دستکاری بستههای laravel-lang و intercom-php از طریق حسابهای گیتهاب ربودهشده)، تیم Packagist وضعیت کارهای امنیتیاش رو شرح داده. تشخیص بدافزار Aikido یکپارچه شده و این هفته Composer 2.10 با یه چارچوب سیاست وابستگی یکپارچه و قابلیت تغییرناپذیری نسخههای پایدار منتشر میشه؛ یعنی تگهای پایدار دیگه با re-tag بیسروصدا بازنویسی نمیشن. تیم از همهی نگهدارندهها میخواد همین حالا MFA رو فعال کنن، چون وضعیت MFA بهزودی عمومی میشه.
این محتوا بهصورت خودکار با استفاده از هوش مصنوعی تولید شده است. بررسی نهایی آن پیش از استفاده توصیه میشود و مسئولیت استفاده از آن بهعهده کاربر است. برای مطالعه متن اصلی خبر،اینجا را کلیک کنید
خلاصهٔ کاملتر
ماههای اخیر، و بهخصوص هفتههای اخیر، شاهد زیادشدن حملات زنجیرهی تأمین نرمافزار به اکوسیستمهای متنباز بودیم. چندتاشون به اکوسیستم PHP هم رسیدن؛ از طریق حسابهای گیتهاب ربودهشده و توکنهای دسترسی دزدیدهشده که به مهاجم اجازه میداد روی بستههایی که دسترسی قانونی بهشون نداشت، تگ جدید منتشر کنه. مهمترین نمونهها دستکاری laravel-lang (۲۲ مه) و intercom/intercom-php (۳۰ آوریل) بودن. تیم Composer و Packagist این پست رو منتشر کردن تا وضعیت کارهای امنیتیشون رو یهجا جمع کنن.
یه پیام فوری وسط مطلب هست: اگه هر بستهای روی Packagist.org داری و MFA فعال نکردی، همین حالا فعالش کن. تیم قراره وضعیت MFA نگهدارندهها رو توی لاگ شفافیت منتشر کنه و روی پروفایلها نشون بده.
خلاصهٔ کاملتر این خبر رو میتونی با داشتن اشتراک ویژه بخونی!
اشتراک رایگان
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
اشتراک ویژه
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
