በየሳምንቱ ማለት ይቻላልየማልዌር ማወቂያ ስርዓቶቻችን እንደ npm እና PyPI ባሉ የህዝብ መዝገቦች ውስጥ በሺዎች የሚቆጠሩ አዳዲስ እና የተዘመኑ ፓኬጆችን ይቃኛሉ። ይህ ሳምንት በጣም ንቁ ነበር።
አረጋግጠናል 198 ተንኮል አዘል ፓኬጆች, በዋናነት በnpm በኩል፣ በPyPI፣ OpenVSX፣ Composer እና VS Code ቅጥያዎች ላይ ተጨማሪ ጉዳዮችን ጨምሮ። በርካታ በተቀናጁ ክላስተሮች ውስጥ ታይተዋል፣ በተመሳሳይ ስሞች ስር ወይም በቅርብ በተያያዙ የጥቅል ቤተሰቦች ውስጥ ተደጋጋሚ ተንኮል አዘል ልቀቶች ታትመዋል። ጎልቶ የሚታየው ጉዳይ ነበር sensivity ፓኬጅ፣ በ2.5.x ክልል ውስጥ ከ60 በላይ የተለቀቁ ልቀቶችን በ npm አጥለቅልቋል። ሌሎች የሚታወቁ ክላስተሮች ተካትተዋል። ai-sdk-helpers (8 የAI ገንቢዎችን ዒላማ ያደረጉ ስሪቶች)፣ @antoncallahan/aws-user-helper (7 የAWS መገልገያ የሚያስመስሉ ስሪቶች)፣ @apple-pay-trust ና @google-pay-trust ቤተሰቦች (የክፍያ መክፈያ ሞጁሎችን መምሰል)፣ @frengki0707/google-cloud-clone (ጉግል ክላውንድ የሚያታልሉ 5 ስሪቶች)፣ እና cms-storehub, cms-helpgit, እና cms-github (ሲኤምኤስን ኢላማ ማድረግ pipelines)። ብዙ ፓኬጆች የክፍያ እና የቼክአፕ ሞጁሎችን አስመስለው ነበር፣ enterprise እና ውስጣዊ የድር ፓኬጆች፣ የትንታኔ ደንበኞች፣ የUI መሠረቶች፣ የገንቢ መገልገያዎች፣ የክፍል አሳሾች፣ የደመና እና የGoogle ገጽታ ፓኬጆች እና ሌሎች በዘመናዊ የልማት የስራ ፍሰቶች ውስጥ በተለምዶ የታመኑ ሞጁሎች።
እነዚህ የተለዩ ያልተለመዱ ነገሮች አልነበሩም። በዚህ ሳምንት ጎልቶ የሚታየው በተመሳሳይ የጥቅል ቤተሰቦች ላይ የተደጋገመ የህትመት መጠን፣ የስያሜ ቅጦችን እንደገና መጠቀም እና ተንኮል አዘል ፓኬጆች በእውነተኛ የሶፍትዌር አቅርቦት ውስጥ እንደ ህጋዊ ጥገኝነት ተደርገው እንዲታዩ የተደረጉበት መንገድ ነበር። pipelines.
ይህ ሳምንታዊ ቅጽበታዊ ገጽ እይታ የሚቀጥለው የተንኮል አዘል ኮድ ማጠቃለያችን አካል ሲሆን አዳዲስ ስጋቶችን የምናረጋግጥበት እና የDevSecOps ቡድኖች ቡድኖቻቸውን እንዲጠብቁ የሚረዳ ተግባራዊ መረጃ የምናቀርብበት ነው። pipelineጉዳት ከመድረሱ በፊት።
በዚህ ሳምንት ያገኘነውን እና ለምን አስፈላጊ እንደሆነ እንዘርዝር።
| ምህዳር | ጥቅል | ቀን |
|---|---|---|
| ጥዋት | @cloudplatform-single-spa/administration:99.99.100 | , 30 2026 ይችላል |
| ጥዋት | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | , 30 2026 ይችላል |
| ጥዋት | @maximvs1538/os-npm:99.0.0 | , 30 2026 ይችላል |
| ጥዋት | @easy-entry/landing-routes:99.9.5 | , 30 2026 ይችላል |
| ጥዋት | @easy-entry/outside-registration-fop-navigator:99.9.5 | , 30 2026 ይችላል |
| ጥዋት | @easy-entry/መንገዶች፡99.9.5 | , 30 2026 ይችላል |
| ጥዋት | @t-in-one/form_product_token:5.7.1 | , 30 2026 ይችላል |
| ጥዋት | @capibar.chat/ui-kit:99.5.7 | , 30 2026 ይችላል |
| VScode | xampp-manager:5.1.3 | , 30 2026 ይችላል |
| ጥዋት | @chat-template/auth:1.0.0 | , 31 2026 ይችላል |
| ጥዋት | json-to-simple-graphql-schema:1.0.0 | ጁን 1, 2026 |
| ጥዋት | @gs-select/savings-client-application:99.0.0 | ጁን 1, 2026 |
| ጥዋት | ኔሞ-ሪፖርተር፡ 1.8.2 | ጁን 1, 2026 |
| ጥዋት | cms-github:4.2.4 | ጁን 1, 2026 |
| ጥዋት | cms-helpgit:4.2.6 | ጁን 1, 2026 |
| ጥዋት | cms-helpgit:4.2.8 | ጁን 1, 2026 |
| ጥዋት | የሴ.ኤም.ኤስ.-ስቶርሃብ፡1.3.4 | ጁን 1, 2026 |
| ጥዋት | የሴ.ኤም.ኤስ.-ስቶርሃብ፡1.3.5 | ጁን 1, 2026 |
| ጥዋት | የሴ.ኤም.ኤስ.-ስቶርሃብ፡1.3.6 | ጁን 1, 2026 |
| ፒፒ | simtooreal-cli:0.3.0 | ጁን 1, 2026 |
| ጥዋት | የችርቻሮ-ቦታ-ስትራቴጂ-የፊት ለፊት:1.1.1 | ጁን 1, 2026 |
| ጥዋት | የችርቻሮ-ቦታ-ስትራቴጂ-የፊት ለፊት:1.1.2 | ጁን 1, 2026 |
| ጥዋት | conversa-sdk:2.0.2 | ጁን 1, 2026 |
| ጥዋት | ቬልትሪክስ:9.0.0 | ጁን 1, 2026 |
| ጥዋት | ቬልትሪክስ:9.0.1 | ጁን 1, 2026 |
| ጥዋት | ጂንሜይድሺሺ፡1.0.4 | ጁን 1, 2026 |
| ጥዋት | ጂንሜይድሺሺ፡1.0.5 | ጁን 1, 2026 |
| ጥዋት | @tse-ዲጂታል/ኮር:99.0.0 | ጁን 1, 2026 |
| ጥዋት | @telenor-se/core:99.0.0 | ጁን 1, 2026 |
| ጥዋት | @ownit/core:99.0.0 | ጁን 1, 2026 |
| ጥዋት | የታካሚ ሰነዶች፡ 75.0.0 | ጁን 1, 2026 |
| ጥዋት | @antoncallahan/aws-user-helper:6767.67.69 | ጁን 1, 2026 |
| ጥዋት | @antoncallahan/aws-user-helper:6767.67.68 | ጁን 1, 2026 |
| ጥዋት | @antoncallahan/aws-user-helper:6767.67.82 | ጁን 1, 2026 |
| ጥዋት | @antoncallahan/aws-user-helper:6767.67.80 | ጁን 1, 2026 |
| ጥዋት | @antoncallahan/aws-user-helper:6767.67.81 | ጁን 1, 2026 |
| ጥዋት | @antoncallahan/aws-user-helper:6767.67.83 | ጁን 1, 2026 |
| ጥዋት | @antoncallahan/aws-user-helper:6767.67.3 | ጁን 1, 2026 |
| ጥዋት | @emcd-vue/auth:6.4.9 | ጁን 1, 2026 |
| ጥዋት | @emcd-vue/b2b-pay-form:5.7.4 | ጁን 1, 2026 |
| ጥዋት | @ccrm/የተጠቃሚ-ማከማቻ-api-axios:5.0.1 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.8 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.12 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.16 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.17 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.18 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.19 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.20 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.21 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.22 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.23 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.24 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.25 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.26 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.27 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.28 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.29 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.30 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.31 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.32 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.41 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.42 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.43 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.44 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.45 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.46 | ጁን 2, 2026 |
| ጥዋት | meoo-ui-helpers:1.0.1 | ጁን 2, 2026 |
| ጥዋት | @langgraphjs/toolkit:1.2.10 | ጁን 2, 2026 |
| ጥዋት | eyevox:9.0.1 | ጁን 2, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.53 | ጁን 3, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.54 | ጁን 3, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.55 | ጁን 3, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.56 | ጁን 3, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.57 | ጁን 3, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.61 | ጁን 3, 2026 |
| ጥዋት | @sentry-browser-sdk/profiling-node:1.0.1 | ጁን 4, 2026 |
| ጥዋት | @sentry-browser-sdk/profiling-node:1.0.2 | ጁን 4, 2026 |
| ጥዋት | @sentry-browser-sdk/profiling-node:1.0.5 | ጁን 4, 2026 |
| ጥዋት | የገንዘብ ማሰባሰቢያ አገልግሎት፡1.0.0 | ጁን 4, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.67 | ጁን 4, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.68 | ጁን 4, 2026 |
| ጥዋት | vg-interaction-model:40.0.5 | ጁን 4, 2026 |
| ጥዋት | internallib_v346:1.0.3 | ጁን 4, 2026 |
| ጥዋት | internallib_v346:1.0.5 | ጁን 4, 2026 |
| ጥዋት | internallib_v346:1.0.9 | ጁን 4, 2026 |
| ጥዋት | ai-sdk-helpers:0.2.1 | ጁን 4, 2026 |
| ጥዋት | ai-sdk-helpers:0.3.0 | ጁን 4, 2026 |
| ጥዋት | ai-sdk-helpers:0.3.1 | ጁን 4, 2026 |
| ጥዋት | ai-sdk-helpers:1.1.0 | ጁን 4, 2026 |
| ጥዋት | ai-sdk-helpers:1.1.1 | ጁን 4, 2026 |
| ጥዋት | ai-sdk-helpers:1.3.0 | ጁን 4, 2026 |
| ጥዋት | ai-sdk-helpers:1.4.0 | ጁን 4, 2026 |
| ጥዋት | ai-sdk-helpers:1.4.2 | ጁን 4, 2026 |
| ጥዋት | @achuthvp/postinstall-poc:1.0.3 | ጁን 4, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.0 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.1 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.2 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.3 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.4 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.5 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.13 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.14 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.15 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.33 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.34 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.35 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.36 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.37 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.38 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.58 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.59 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.60 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.62 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.63 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.64 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.65 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.66 | ጁን 5, 2026 |
| ጥዋት | ስሜታዊነት፡ 2.5.69 | ጁን 5, 2026 |
ክፍት ምንጭ ጥገኝነትዎን ከተጋላጭነት እና ከተንኮል አዘል ኮድ ይጠብቁ
ተንኮል አዘል ፓኬጆች ወደ እርስዎ እንዲደርሱ አይፍቀዱ pipelines. የXygeni ቀደምት የማልዌር ምርመራ ለቡድንዎ በጣም አስፈላጊ የሆኑትን ስጋቶች በእውነተኛ ጊዜ እንዲታይ ያደርጋል፣ ጎጂ ጥገኞች ሶፍትዌርዎን ከመንካታቸው በፊት እንዲይዙ ያደርጋል።
የዚህ ሳምንት አጭር መግለጫ እንደሚያሳየው፣ የተንኮል አዘል ፓኬጅ ዘመቻዎች ብዛት እና ውስብስብነት እየቀነሰ አይደለም። የተቀናጀ የስሪት ጎርፍ፣ የክፍያ ሞጁል ማስመሰል እና ውስጣዊ የሚመስሉ የጥቅል ስሞች አጥቂዎች ለማለፍ ከሚጠቀሙባቸው ዘዴዎች መካከል ጥቂቶቹ ናቸው። standard መከላከያዎች። ከእነዚህ ስጋቶች ቀድመው መቆየት በየጊዜው ከሚደረጉ ኦዲቶች የበለጠ ነገርን ይጠይቃል፣ ቡድኖችዎ በሚተማመኑባቸው በእያንዳንዱ መዝገብ ላይ ቀጣይነት ያለው ክትትል ይጠይቃል።
የዚጄኒ Open Source Security መፍትሄው ጎጂ ፓኬጆችን በህትመት ቦታ፣ በ npm፣ PyPI እና ከዚያም በላይ ይቃኛል እና ያግዳል። ትልቁን የእውነተኛ ዓለም አደጋ የሚያስከትሉትን ተጋላጭነቶች በአውድ ቅድሚያ በመስጠት (እና ለ DevSecOps ቡድኖችዎ የማገገሚያ መንገድን በማቀላጠፍ) Xygeni የልማት ፍጥነትን ሳያዘገዩ ደህንነቱ የተጠበቀ እና አስተማማኝ የሶፍትዌር አቅርቦትን እንዲጠብቁ ያግዝዎታል።




