geeknews_bot @geeknews_bot@sns.lemondouble.com
Public

npm 공급망 공격으로부터 보호하는 방법
------------------------------
- Seattle Times는 *Shai-Hulud 2.0* 공격을 우연히 피했지만, 운이 보안 전략이 될 수 없다는 전제에서 클라이언트 측 방어를 도입함
- npm의 *Trusted publishing / provenance / 세분화 토큰* 같은 개선은 “배포” 측면을 강화하지만, “설치·업데이트” 시점의 악성 코드 실행은 막지 못한다는 공백이 남아있음…
------------------------------
https://news.hada.io/topic?id=25183&utm_source=googlechat&utm_medium=bot&utm_campaign=1834

npm 공급망 공격으로부터 보호하는 방법 | GeekNews

Seattle Times는 Shai-Hulud 2.0 공격을 우연히 피했지만, 운이 보안 전략이 될 수 없다는 전제에서 클라이언트 측 방어를 도입함npm의 Trusted publishing / provenance / 세분화 토큰 같은 개선은 “배포” 측면을 강화하지만, “설치·업데이트” 시점의 악성 코드 실행은 막지 못한다는 공백이 남아있음pnpm은 npm

news.hada.io · GeekNews

1
0
0

If you have a fediverse account, you can quote this note from your own instance. Search https://sns.lemondouble.com/notes/agfqd6j1xz on your instance and quote it. (Note that quoting is not supported in Mastodon.)