Зыяндуу код дайджести 73

Xygeni зыяндуу код дайджести 73

Дээрлик ар жума сайын, биздин зыяндуу программаларды аныктоо системаларыбыз npm жана PyPI сыяктуу коомдук реестрлердеги миңдеген жаңы жана жаңыртылган пакеттерди сканерлейт. Бул апта абдан активдүү болду.

Биз ырастадык 198 зыяндуу пакет, негизинен npm аркылуу, PyPI, OpenVSX, Composer жана VS Code кеңейтүүлөрүндө кошумча учурлар менен. Бир нечеси координацияланган кластерлерде пайда болду, бир эле аталыштар менен же бири-бирине жакын пакет үй-бүлөлөрүндө кайталанган зыяндуу чыгарылыштар жарыяланды. Эң көрүнүктүү учур болгон sensivity пакет, ал npmди 2.5.x диапазонунда 60тан ашык версияланган релиздер менен каптады. Башка көрүнүктүү кластерлер да камтылган ai-sdk-helpers (AI иштеп чыгуучуларга багытталган 8 версия), @antoncallahan/aws-user-helper (AWS утилитасын туураган 7 версия), @apple-pay-trust жана @google-pay-trust үй-бүлөлөр (төлөмдү кабыл алуу модулдарын туурап), @frengki0707/google-cloud-clone (Google Cloud'ту жасалмалаган 5 версия), жана cms-storehub, cms-helpgit, жана cms-github (CMSти бутага алуу pipelineс). Көптөгөн пакеттер төлөм жана төлөө модулдарын туурашкан, enterprise жана ички веб-пакеттери, аналитикалык кардарлар, UI негиздери, иштеп чыгуучулардын утилиталары, компонент изилдөөчүлөрү, булут жана Google темасындагы пакеттер жана заманбап иштеп чыгуу жумуш агымдарында кеңири таралган башка модулдар.

Булар обочолонгон аномалиялар эмес болчу. Бул аптада өзгөчөлөнгөн нерсе - ошол эле пакет үй-бүлөлөрүндө кайталап жарыялоонун масштабы, аталыш үлгүлөрүнүн кайра колдонулушу жана зыяндуу пакеттердин чыныгы программалык камсыздоонун ичиндеги мыйзамдуу көз карандылыктар сыяктуу көрүнүү үчүн жашырылган жолу болду. pipelines.

Бул жумалык кыскача маалымат биздин уланып жаткан Зыяндуу Код Дайджестинин бир бөлүгү болуп саналат, анда биз жаңы коркунучтарды текшерип, DevSecOps командаларына өздөрүнүн коопсуздугун коргоого жардам берүү үчүн иш жүзүндө колдонулуучу чалгындоо маалыматтарын беребиз pipelineзыян келтирилгенге чейин с.

Келгиле, ушул аптада эмне тапканыбызды жана анын эмне үчүн маанилүү экенин талдап көрөлү.

Ырасталган зыяндуу пакеттер
Экосистемалык таңгак дата
КЭУБ@cloudplatform-single-spa/administration: 99.99.10030 мүмкүн, 2026
КЭУБ@cloudplatform-single-spa/svp-s3-storage:99.99.10030 мүмкүн, 2026
КЭУБ@maximvs1538/os-npm:99.0.030 мүмкүн, 2026
КЭУБ@easy-entry/landing-routes: 99.9.530 мүмкүн, 2026
КЭУБ@easy-entry/тышкы-каттоо-fop-navigator:99.9.530 мүмкүн, 2026
КЭУБ@easy-entry/маршруттар: 99.9.530 мүмкүн, 2026
КЭУБ@t-in-one/форманын_продукт_токени:5.7.130 мүмкүн, 2026
КЭУБ@capibar.chat/ui-kit:99.5.730 мүмкүн, 2026
vscodexampp-менеджери: 5.1.330 мүмкүн, 2026
КЭУБ@чат-шаблону/авторизация:1.0.031 мүмкүн, 2026
КЭУБjsonдон жөнөкөй графикке чейинки схема: 1.0.0Jun 1, 2026
КЭУБ@gs-select/savings-client-application:99.0.0Jun 1, 2026
КЭУБнемо-репортер: 1.8.2Jun 1, 2026
КЭУБcms-github:4.2.4Jun 1, 2026
КЭУБcms-helpgit:4.2.6Jun 1, 2026
КЭУБcms-helpgit:4.2.8Jun 1, 2026
КЭУБcms-дүкөн: 1.3.4Jun 1, 2026
КЭУБcms-дүкөн: 1.3.5Jun 1, 2026
КЭУБcms-дүкөн: 1.3.6Jun 1, 2026
pypisimtooreal-cli:0.3.0Jun 1, 2026
КЭУБчекене соода-жайгашуу-стратегия-алдыңкы бет: 1.1.1Jun 1, 2026
КЭУБчекене соода-жайгашуу-стратегия-алдыңкы бет: 1.1.2Jun 1, 2026
КЭУБconversa-sdk:2.0.2Jun 1, 2026
КЭУБвельтрикс: 9.0.0Jun 1, 2026
КЭУБвельтрикс: 9.0.1Jun 1, 2026
КЭУБjingmeideshishi:1.0.4Jun 1, 2026
КЭУБjingmeideshishi:1.0.5Jun 1, 2026
КЭУБ@tse-digital/core:99.0.0Jun 1, 2026
КЭУБ@telenor-se/core:99.0.0Jun 1, 2026
КЭУБ@ownit/core:99.0.0Jun 1, 2026
КЭУБбейтаптын документтери: 75.0.0Jun 1, 2026
КЭУБ@antoncallahan/aws-user-helper:6767.67.69Jun 1, 2026
КЭУБ@antoncallahan/aws-user-helper:6767.67.68Jun 1, 2026
КЭУБ@antoncallahan/aws-user-helper:6767.67.82Jun 1, 2026
КЭУБ@antoncallahan/aws-user-helper:6767.67.80Jun 1, 2026
КЭУБ@antoncallahan/aws-user-helper:6767.67.81Jun 1, 2026
КЭУБ@antoncallahan/aws-user-helper:6767.67.83Jun 1, 2026
КЭУБ@antoncallahan/aws-user-helper:6767.67.3Jun 1, 2026
КЭУБ@emcd-vue/auth:6.4.9Jun 1, 2026
КЭУБ@emcd-vue/b2b-төлөө формасы: 5.7.4Jun 1, 2026
КЭУБ@ccrm/user-storage-api-axios:5.0.1Jun 2, 2026
КЭУБсезгичтик: 2.5.8Jun 2, 2026
КЭУБсезгичтик: 2.5.12Jun 2, 2026
КЭУБсезгичтик: 2.5.16Jun 2, 2026
КЭУБсезгичтик: 2.5.17Jun 2, 2026
КЭУБсезгичтик: 2.5.18Jun 2, 2026
КЭУБсезгичтик: 2.5.19Jun 2, 2026
КЭУБсезгичтик: 2.5.20Jun 2, 2026
КЭУБсезгичтик: 2.5.21Jun 2, 2026
КЭУБсезгичтик: 2.5.22Jun 2, 2026
КЭУБсезгичтик: 2.5.23Jun 2, 2026
КЭУБсезгичтик: 2.5.24Jun 2, 2026
КЭУБсезгичтик: 2.5.25Jun 2, 2026
КЭУБсезгичтик: 2.5.26Jun 2, 2026
КЭУБсезгичтик: 2.5.27Jun 2, 2026
КЭУБсезгичтик: 2.5.28Jun 2, 2026
КЭУБсезгичтик: 2.5.29Jun 2, 2026
КЭУБсезгичтик: 2.5.30Jun 2, 2026
КЭУБсезгичтик: 2.5.31Jun 2, 2026
КЭУБсезгичтик: 2.5.32Jun 2, 2026
КЭУБсезгичтик: 2.5.41Jun 2, 2026
КЭУБсезгичтик: 2.5.42Jun 2, 2026
КЭУБсезгичтик: 2.5.43Jun 2, 2026
КЭУБсезгичтик: 2.5.44Jun 2, 2026
КЭУБсезгичтик: 2.5.45Jun 2, 2026
КЭУБсезгичтик: 2.5.46Jun 2, 2026
КЭУБmeoo-ui-жардамчылары:1.0.1Jun 2, 2026
КЭУБ@langgraphjs/toolkit:1.2.10Jun 2, 2026
КЭУБyevox:9.0.1Jun 2, 2026
КЭУБсезгичтик: 2.5.53Jun 3, 2026
КЭУБсезгичтик: 2.5.54Jun 3, 2026
КЭУБсезгичтик: 2.5.55Jun 3, 2026
КЭУБсезгичтик: 2.5.56Jun 3, 2026
КЭУБсезгичтик: 2.5.57Jun 3, 2026
КЭУБсезгичтик: 2.5.61Jun 3, 2026
КЭУБ@sentry-browser-sdk/profiling-node:1.0.1Jun 4, 2026
КЭУБ@sentry-browser-sdk/profiling-node:1.0.2Jun 4, 2026
КЭУБ@sentry-browser-sdk/profiling-node:1.0.5Jun 4, 2026
КЭУБкаражат чогултуу кызматы: 1.0.0Jun 4, 2026
КЭУБсезгичтик: 2.5.67Jun 4, 2026
КЭУБсезгичтик: 2.5.68Jun 4, 2026
КЭУБvg-өз ара аракеттенүү модели: 40.0.5Jun 4, 2026
КЭУБinternallib_v346:1.0.3Jun 4, 2026
КЭУБinternallib_v346:1.0.5Jun 4, 2026
КЭУБinternallib_v346:1.0.9Jun 4, 2026
КЭУБai-sdk-жардамчылары:0.2.1Jun 4, 2026
КЭУБai-sdk-жардамчылары:0.3.0Jun 4, 2026
КЭУБai-sdk-жардамчылары:0.3.1Jun 4, 2026
КЭУБai-sdk-жардамчылары:1.1.0Jun 4, 2026
КЭУБai-sdk-жардамчылары:1.1.1Jun 4, 2026
КЭУБai-sdk-жардамчылары:1.3.0Jun 4, 2026
КЭУБai-sdk-жардамчылары:1.4.0Jun 4, 2026
КЭУБai-sdk-жардамчылары:1.4.2Jun 4, 2026
КЭУБ@achuthvp/postinstall-poc:1.0.3Jun 4, 2026
КЭУБсезгичтик: 2.5.0Jun 5, 2026
КЭУБсезгичтик: 2.5.1Jun 5, 2026
КЭУБсезгичтик: 2.5.2Jun 5, 2026
КЭУБсезгичтик: 2.5.3Jun 5, 2026
КЭУБсезгичтик: 2.5.4Jun 5, 2026
КЭУБсезгичтик: 2.5.5Jun 5, 2026
КЭУБсезгичтик: 2.5.13Jun 5, 2026
КЭУБсезгичтик: 2.5.14Jun 5, 2026
КЭУБсезгичтик: 2.5.15Jun 5, 2026
КЭУБсезгичтик: 2.5.33Jun 5, 2026
КЭУБсезгичтик: 2.5.34Jun 5, 2026
КЭУБсезгичтик: 2.5.35Jun 5, 2026
КЭУБсезгичтик: 2.5.36Jun 5, 2026
КЭУБсезгичтик: 2.5.37Jun 5, 2026
КЭУБсезгичтик: 2.5.38Jun 5, 2026
КЭУБсезгичтик: 2.5.58Jun 5, 2026
КЭУБсезгичтик: 2.5.59Jun 5, 2026
КЭУБсезгичтик: 2.5.60Jun 5, 2026
КЭУБсезгичтик: 2.5.62Jun 5, 2026
КЭУБсезгичтик: 2.5.63Jun 5, 2026
КЭУБсезгичтик: 2.5.64Jun 5, 2026
КЭУБсезгичтик: 2.5.65Jun 5, 2026
КЭУБсезгичтик: 2.5.66Jun 5, 2026
КЭУБсезгичтик: 2.5.69Jun 5, 2026


Ачык булактуу көз карандылыктарыңызды алсыздыктардан жана зыяндуу коддордон коргоңуз

Зыяндуу пакеттердин сиздин жетүүнө жол бербеңиз pipelines. Xygeni эрте зыяндуу программаларды аныктоо зыяндуу көз карандылыктарды алар сиздин программалык камсыздооңузга тийе электе аныктап, командаңызга эң маанилүү коркунучтарды реалдуу убакыт режиминде көрүүгө мүмкүнчүлүк берет.

Бул аптадагы дайджестте көрүнүп тургандай, зыяндуу пакеттик кампаниялардын көлөмү жана татаалдыгы басаңдаган жок. Координацияланган версиялардын толуп кетиши, төлөм модулунун башка бирөөнүн атынан жасалмалоо жана пакеттердин ички аталыштары чабуулчулар качып кетүү үчүн колдонгон тактикалардын бир бөлүгү гана. standard коргонуу. Бул коркунучтардан алдыда болуу мезгил-мезгили менен аудиттерден да көптү талап кылат, бул сиздин командаларыңыз таянган ар бир реестрди үзгүлтүксүз көзөмөлдөөнү талап кылат.

Xygeni's Open Source Security чечим зыяндуу пакеттерди жарыялоо учурунда, npm, PyPI жана андан тышкары жерлерде сканерлейт жана бөгөттөйт. Реалдуу дүйнөдөгү эң чоң коркунучту жараткан алсыздыктарды контексттик жактан артыкчылыктуу деп эсептөө (жана DevSecOps командаларыңыз үчүн калыбына келтирүү жолун жөнөкөйлөтүү) менен Xygeni сизге иштеп чыгууну жайлатпастан, коопсуз жана ишенимдүү программалык камсыздоону жеткирүүнү сактоого жардам берет.

sca-tools-программалык-композициялык-талдоо-куралдары
Программалык камсыздооңуздун тобокелдиктерин артыкчылыктуу деп эсептеңиз, оңдоңуз жана коопсуздугун камсыз кылыңыз
Акысыз аккаунтуңузду алыңыз.
Насыя картасы талап кылынбайт.

Программалык камсыздоону иштеп чыгууну жана жеткирүүнү камсыз кылыңыз

Xygeni Product Suite менен