цепочка поставок
5 статей с этим тегом
Массовая утечка MOVEit (2023) — как zero-day SQL-инъекция достигла 2700+ организаций и как защититься
Входом стала zero-day SQL-инъекция (CVE-2023-34362) в выходящем в интернет MOVEit Transfer. Был установлен веб-шелл (LEMURLOOT), и данные массово украдены из базовой БД, затронув 2700+ организаций и ~93,3 млн человек. Большинство жертв задеты косвенно, потому что MOVEit использовал поставщик. В вашей среде: быстрый патчинг KEV, минимизация открытости, минимальные привилегии и сегментация web↔БД, инвентаризация поставщиков и минимизация данных.
Установка и использование osv-scanner: найти CVE в ваших зависимостях
osv-scanner сканирует lock-файлы и контейнеры, выявляя CVE в ваших зависимостях, бесплатно. Здесь разобраны установка, запуск и интеграция в CI, плюс когда применять его vs npm/pnpm audit vs Dependabot. Взгляд этого сайта: правильный инструмент определяется ВАШЕЙ конфигурацией — берите osv-scanner для проектов с несколькими экосистемами или без GitHub, и встроенный pnpm audit для одного npm-дерева.
Самохостинг Git vs GitHub: что на самом деле безопаснее?
Самохостинг Git не делает вас «безопаснее» — он перемещает риск. Класс случайной публичной выставленности исчезает, но патчинг сервера, резервные копии и обнаружение секретов в pre-commit переходят на вас. Правильный выбор, если вы платите цену; хуже GitHub, если запускаете. Взгляд этого сайта: самохостинг работает только в связке с компенсирующими мерами.
Утечка Codecov (2021) — когда «доверенный инструмент» в CI был взломан и утекли секреты
Доверенный инструмент CI (Bash Uploader на curl|bash) был изменён на стороне поставщика. Поскольку ваш собственный код не трогали, это оставалось незамеченным ~2 месяца, пока утекали секреты CI; поймала это проверка контрольной суммы. В вашем CI: проверяйте загружаемые артефакты, минимальные привилегии секретов, ротация, мониторинг исходящего трафика.
Бэкдор XZ Utils (CVE-2024-3094) — когда целью было само доверие
Доверенный мейнтейнер внедрил бэкдор в xz — атака на цепочку поставок. «Это работает медленно» одного инженера поймало это прямо перед стабильным релизом. Целью был не код, а люди и доверие. Минимизируйте зависимости, закрепляйте версии, собирайте воспроизводимо, преследуйте аномалии и поддерживайте мейнтейнеров.