Дээрлик ар жума сайын, биздин зыяндуу программаларды аныктоо системаларыбыз npm жана PyPI сыяктуу коомдук реестрлердеги миңдеген жаңы жана жаңыртылган пакеттерди сканерлейт. Бул апта абдан активдүү болду.
Биз ырастадык 198 зыяндуу пакет, негизинен npm аркылуу, PyPI, OpenVSX, Composer жана VS Code кеңейтүүлөрүндө кошумча учурлар менен. Бир нечеси координацияланган кластерлерде пайда болду, бир эле аталыштар менен же бири-бирине жакын пакет үй-бүлөлөрүндө кайталанган зыяндуу чыгарылыштар жарыяланды. Эң көрүнүктүү учур болгон sensivity пакет, ал npmди 2.5.x диапазонунда 60тан ашык версияланган релиздер менен каптады. Башка көрүнүктүү кластерлер да камтылган ai-sdk-helpers (AI иштеп чыгуучуларга багытталган 8 версия), @antoncallahan/aws-user-helper (AWS утилитасын туураган 7 версия), @apple-pay-trust жана @google-pay-trust үй-бүлөлөр (төлөмдү кабыл алуу модулдарын туурап), @frengki0707/google-cloud-clone (Google Cloud'ту жасалмалаган 5 версия), жана cms-storehub, cms-helpgit, жана cms-github (CMSти бутага алуу pipelineс). Көптөгөн пакеттер төлөм жана төлөө модулдарын туурашкан, enterprise жана ички веб-пакеттери, аналитикалык кардарлар, UI негиздери, иштеп чыгуучулардын утилиталары, компонент изилдөөчүлөрү, булут жана Google темасындагы пакеттер жана заманбап иштеп чыгуу жумуш агымдарында кеңири таралган башка модулдар.
Булар обочолонгон аномалиялар эмес болчу. Бул аптада өзгөчөлөнгөн нерсе - ошол эле пакет үй-бүлөлөрүндө кайталап жарыялоонун масштабы, аталыш үлгүлөрүнүн кайра колдонулушу жана зыяндуу пакеттердин чыныгы программалык камсыздоонун ичиндеги мыйзамдуу көз карандылыктар сыяктуу көрүнүү үчүн жашырылган жолу болду. pipelines.
Бул жумалык кыскача маалымат биздин уланып жаткан Зыяндуу Код Дайджестинин бир бөлүгү болуп саналат, анда биз жаңы коркунучтарды текшерип, DevSecOps командаларына өздөрүнүн коопсуздугун коргоого жардам берүү үчүн иш жүзүндө колдонулуучу чалгындоо маалыматтарын беребиз pipelineзыян келтирилгенге чейин с.
Келгиле, ушул аптада эмне тапканыбызды жана анын эмне үчүн маанилүү экенин талдап көрөлү.
| Экосистемалык | таңгак | дата |
|---|---|---|
| КЭУБ | @cloudplatform-single-spa/administration: 99.99.100 | 30 мүмкүн, 2026 |
| КЭУБ | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | 30 мүмкүн, 2026 |
| КЭУБ | @maximvs1538/os-npm:99.0.0 | 30 мүмкүн, 2026 |
| КЭУБ | @easy-entry/landing-routes: 99.9.5 | 30 мүмкүн, 2026 |
| КЭУБ | @easy-entry/тышкы-каттоо-fop-navigator:99.9.5 | 30 мүмкүн, 2026 |
| КЭУБ | @easy-entry/маршруттар: 99.9.5 | 30 мүмкүн, 2026 |
| КЭУБ | @t-in-one/форманын_продукт_токени:5.7.1 | 30 мүмкүн, 2026 |
| КЭУБ | @capibar.chat/ui-kit:99.5.7 | 30 мүмкүн, 2026 |
| vscode | xampp-менеджери: 5.1.3 | 30 мүмкүн, 2026 |
| КЭУБ | @чат-шаблону/авторизация:1.0.0 | 31 мүмкүн, 2026 |
| КЭУБ | jsonдон жөнөкөй графикке чейинки схема: 1.0.0 | Jun 1, 2026 |
| КЭУБ | @gs-select/savings-client-application:99.0.0 | Jun 1, 2026 |
| КЭУБ | немо-репортер: 1.8.2 | Jun 1, 2026 |
| КЭУБ | cms-github:4.2.4 | Jun 1, 2026 |
| КЭУБ | cms-helpgit:4.2.6 | Jun 1, 2026 |
| КЭУБ | cms-helpgit:4.2.8 | Jun 1, 2026 |
| КЭУБ | cms-дүкөн: 1.3.4 | Jun 1, 2026 |
| КЭУБ | cms-дүкөн: 1.3.5 | Jun 1, 2026 |
| КЭУБ | cms-дүкөн: 1.3.6 | Jun 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Jun 1, 2026 |
| КЭУБ | чекене соода-жайгашуу-стратегия-алдыңкы бет: 1.1.1 | Jun 1, 2026 |
| КЭУБ | чекене соода-жайгашуу-стратегия-алдыңкы бет: 1.1.2 | Jun 1, 2026 |
| КЭУБ | conversa-sdk:2.0.2 | Jun 1, 2026 |
| КЭУБ | вельтрикс: 9.0.0 | Jun 1, 2026 |
| КЭУБ | вельтрикс: 9.0.1 | Jun 1, 2026 |
| КЭУБ | jingmeideshishi:1.0.4 | Jun 1, 2026 |
| КЭУБ | jingmeideshishi:1.0.5 | Jun 1, 2026 |
| КЭУБ | @tse-digital/core:99.0.0 | Jun 1, 2026 |
| КЭУБ | @telenor-se/core:99.0.0 | Jun 1, 2026 |
| КЭУБ | @ownit/core:99.0.0 | Jun 1, 2026 |
| КЭУБ | бейтаптын документтери: 75.0.0 | Jun 1, 2026 |
| КЭУБ | @antoncallahan/aws-user-helper:6767.67.69 | Jun 1, 2026 |
| КЭУБ | @antoncallahan/aws-user-helper:6767.67.68 | Jun 1, 2026 |
| КЭУБ | @antoncallahan/aws-user-helper:6767.67.82 | Jun 1, 2026 |
| КЭУБ | @antoncallahan/aws-user-helper:6767.67.80 | Jun 1, 2026 |
| КЭУБ | @antoncallahan/aws-user-helper:6767.67.81 | Jun 1, 2026 |
| КЭУБ | @antoncallahan/aws-user-helper:6767.67.83 | Jun 1, 2026 |
| КЭУБ | @antoncallahan/aws-user-helper:6767.67.3 | Jun 1, 2026 |
| КЭУБ | @emcd-vue/auth:6.4.9 | Jun 1, 2026 |
| КЭУБ | @emcd-vue/b2b-төлөө формасы: 5.7.4 | Jun 1, 2026 |
| КЭУБ | @ccrm/user-storage-api-axios:5.0.1 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.8 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.12 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.16 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.17 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.18 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.19 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.20 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.21 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.22 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.23 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.24 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.25 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.26 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.27 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.28 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.29 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.30 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.31 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.32 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.41 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.42 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.43 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.44 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.45 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.46 | Jun 2, 2026 |
| КЭУБ | meoo-ui-жардамчылары:1.0.1 | Jun 2, 2026 |
| КЭУБ | @langgraphjs/toolkit:1.2.10 | Jun 2, 2026 |
| КЭУБ | yevox:9.0.1 | Jun 2, 2026 |
| КЭУБ | сезгичтик: 2.5.53 | Jun 3, 2026 |
| КЭУБ | сезгичтик: 2.5.54 | Jun 3, 2026 |
| КЭУБ | сезгичтик: 2.5.55 | Jun 3, 2026 |
| КЭУБ | сезгичтик: 2.5.56 | Jun 3, 2026 |
| КЭУБ | сезгичтик: 2.5.57 | Jun 3, 2026 |
| КЭУБ | сезгичтик: 2.5.61 | Jun 3, 2026 |
| КЭУБ | @sentry-browser-sdk/profiling-node:1.0.1 | Jun 4, 2026 |
| КЭУБ | @sentry-browser-sdk/profiling-node:1.0.2 | Jun 4, 2026 |
| КЭУБ | @sentry-browser-sdk/profiling-node:1.0.5 | Jun 4, 2026 |
| КЭУБ | каражат чогултуу кызматы: 1.0.0 | Jun 4, 2026 |
| КЭУБ | сезгичтик: 2.5.67 | Jun 4, 2026 |
| КЭУБ | сезгичтик: 2.5.68 | Jun 4, 2026 |
| КЭУБ | vg-өз ара аракеттенүү модели: 40.0.5 | Jun 4, 2026 |
| КЭУБ | internallib_v346:1.0.3 | Jun 4, 2026 |
| КЭУБ | internallib_v346:1.0.5 | Jun 4, 2026 |
| КЭУБ | internallib_v346:1.0.9 | Jun 4, 2026 |
| КЭУБ | ai-sdk-жардамчылары:0.2.1 | Jun 4, 2026 |
| КЭУБ | ai-sdk-жардамчылары:0.3.0 | Jun 4, 2026 |
| КЭУБ | ai-sdk-жардамчылары:0.3.1 | Jun 4, 2026 |
| КЭУБ | ai-sdk-жардамчылары:1.1.0 | Jun 4, 2026 |
| КЭУБ | ai-sdk-жардамчылары:1.1.1 | Jun 4, 2026 |
| КЭУБ | ai-sdk-жардамчылары:1.3.0 | Jun 4, 2026 |
| КЭУБ | ai-sdk-жардамчылары:1.4.0 | Jun 4, 2026 |
| КЭУБ | ai-sdk-жардамчылары:1.4.2 | Jun 4, 2026 |
| КЭУБ | @achuthvp/postinstall-poc:1.0.3 | Jun 4, 2026 |
| КЭУБ | сезгичтик: 2.5.0 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.1 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.2 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.3 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.4 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.5 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.13 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.14 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.15 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.33 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.34 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.35 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.36 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.37 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.38 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.58 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.59 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.60 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.62 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.63 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.64 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.65 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.66 | Jun 5, 2026 |
| КЭУБ | сезгичтик: 2.5.69 | Jun 5, 2026 |
Ачык булактуу көз карандылыктарыңызды алсыздыктардан жана зыяндуу коддордон коргоңуз
Зыяндуу пакеттердин сиздин жетүүнө жол бербеңиз pipelines. Xygeni эрте зыяндуу программаларды аныктоо зыяндуу көз карандылыктарды алар сиздин программалык камсыздооңузга тийе электе аныктап, командаңызга эң маанилүү коркунучтарды реалдуу убакыт режиминде көрүүгө мүмкүнчүлүк берет.
Бул аптадагы дайджестте көрүнүп тургандай, зыяндуу пакеттик кампаниялардын көлөмү жана татаалдыгы басаңдаган жок. Координацияланган версиялардын толуп кетиши, төлөм модулунун башка бирөөнүн атынан жасалмалоо жана пакеттердин ички аталыштары чабуулчулар качып кетүү үчүн колдонгон тактикалардын бир бөлүгү гана. standard коргонуу. Бул коркунучтардан алдыда болуу мезгил-мезгили менен аудиттерден да көптү талап кылат, бул сиздин командаларыңыз таянган ар бир реестрди үзгүлтүксүз көзөмөлдөөнү талап кылат.
Xygeni's Open Source Security чечим зыяндуу пакеттерди жарыялоо учурунда, npm, PyPI жана андан тышкары жерлерде сканерлейт жана бөгөттөйт. Реалдуу дүйнөдөгү эң чоң коркунучту жараткан алсыздыктарды контексттик жактан артыкчылыктуу деп эсептөө (жана DevSecOps командаларыңыз үчүн калыбына келтирүү жолун жөнөкөйлөтүү) менен Xygeni сизге иштеп чыгууну жайлатпастан, коопсуз жана ишенимдүү программалык камсыздоону жеткирүүнү сактоого жардам берет.




