دفاع لایهلایه در برابر حملات زنجیره تأمین نرمافزار
بعد از حملات پشتسرهم زنجیره تأمین روی npm مثل Shai-Hulud و axios، AWS مجموعهای از بهترین روشها برای محافظت از مصرفکنندههای پکیج منتشر کرده. ایدهی اصلی دفاع لایهلایهست: اعتبارنامههای موقت بهجای توکنهای دائمی، حداقل دسترسی، امضای رمزنگاریشدهی آرتیفکتها، مدیریت متمرکز وابستگیها و اسکن مداوم. نکتهی مهم اینه که اسکنرهای سنتی مبتنی بر CVE این پکیجهای مخرب رو که مثل zero-day عمل میکنن نمیگیرن و باید به تحلیل رفتاری روی آورد.
این محتوا بهصورت خودکار با استفاده از هوش مصنوعی تولید شده است. بررسی نهایی آن پیش از استفاده توصیه میشود و مسئولیت استفاده از آن بهعهده کاربر است. برای مطالعه متن اصلی خبر،اینجا را کلیک کنید
خلاصهٔ کاملتر
از سپتامبر به اینسو، چند حملهی مهم زنجیره تأمین (supply chain) از طریق رجیستری npm رخ داده: Shai-Hulud، Chalk/Debug، یکی با سوءاستفاده از توکنهای tea.xyz و اخیراً axios. AWS توی این مطلب بهترین روشها رو برای سمت مصرفکنندهی پکیج جمع کرده تا بشه دامنهی این تهدیدها رو محدود کرد.
حملههایی مثل Shai-Hulud از دو جبهه سوءاستفاده میکنن: حساب نگهدارندههای (maintainer) پکیج که با فیشینگ به خطر افتاده و نسخههای مخرب منتشر میکنن، و محیط مصرفکنندههایی که اون پکیجها رو دانلود و اجرا میکنن. وقتی Shai-Hulud توی محیط توسعه و pipelineهای CI/CD اجرا میشد، دنبال secretهایی مثل توکن npm، توکن GitHub و کلیدهای دسترسی IAM میگشت.
خلاصهٔ کاملتر این خبر رو میتونی با داشتن اشتراک ویژه بخونی!
اشتراک رایگان
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
اشتراک ویژه
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
