ເກືອບທຸກໆອາທິດ, ລະບົບກວດຫາມັນແວຂອງພວກເຮົາສະແກນແພັກເກດໃໝ່ ແລະ ແພັກເກດທີ່ອັບເດດແລ້ວຫຼາຍພັນແພັກເກດໃນທົ່ວທະບຽນສາທາລະນະເຊັ່ນ npm ແລະ PyPI. ອາທິດນີ້ມີການເຄື່ອນໄຫວຫຼາຍ.
ພວກເຮົາໄດ້ຢືນຢັນ 198 ແພັກເກດທີ່ເປັນອັນຕະລາຍ, ສ່ວນໃຫຍ່ແມ່ນຜ່ານ npm, ພ້ອມກັບກໍລະນີເພີ່ມເຕີມໃນ PyPI, OpenVSX, Composer, ແລະ VS Code extensions. ຫຼາຍໆກໍລະນີໄດ້ປາກົດຢູ່ໃນກຸ່ມທີ່ປະສານງານກັນ, ໂດຍມີການປ່ອຍອັນຕະລາຍຊ້ຳໆທີ່ເຜີຍແຜ່ພາຍໃຕ້ຊື່ດຽວກັນ ຫຼື ໃນທົ່ວຊຸດແພັກເກດທີ່ກ່ຽວຂ້ອງຢ່າງໃກ້ຊິດ. ກໍລະນີທີ່ໂດດເດັ່ນແມ່ນ sensivity ແພັກເກດ, ເຊິ່ງເຮັດໃຫ້ npm ມີການປ່ອຍເວີຊັນຫຼາຍກວ່າ 60 ລຸ້ນໃນທົ່ວລະດັບ 2.5.x. ກຸ່ມທີ່ໂດດເດັ່ນອື່ນໆລວມມີ ai-sdk-helpers (8 ເວີຊັນທີ່ແນໃສ່ນັກພັດທະນາ AI), @antoncallahan/aws-user-helper (7 ເວີຊັນທີ່ປອມຕົວເປັນໂປຣແກຣມ AWS), @apple-pay-trust ແລະ @google-pay-trust ຄອບຄົວ (ຮຽນແບບໂມດູນການຈ່າຍເງິນ), @frengki0707/google-cloud-clone (5 ເວີຊັນທີ່ຫຼອກລວງ Google Cloud), ແລະ cms-storehub, cms-helpgit, ແລະ cms-github (ການກຳນົດເປົ້າໝາຍ CMS pipelines). ແພັກເກດຫຼາຍໆອັນໄດ້ຮຽນແບບໂມດູນການຈ່າຍເງິນ ແລະ ການຈ່າຍເງິນ. enterprise ແລະ ແພັກເກດເວັບພາຍໃນ, ລູກຄ້າວິເຄາະ, ພື້ນຖານ UI, ໂປຣແກຣມສຳລັບນັກພັດທະນາ, ເຄື່ອງມືສຳຫຼວດອົງປະກອບ, ແພັກເກດຫົວຂໍ້ຄລາວ ແລະ ກູໂກ, ແລະ ໂມດູນອື່ນໆທີ່ໄດ້ຮັບຄວາມໄວ້ວາງໃຈທົ່ວໄປໃນຂະບວນການພັດທະນາທີ່ທັນສະໄໝ.
ສິ່ງເຫຼົ່ານີ້ບໍ່ແມ່ນຄວາມຜິດປົກກະຕິທີ່ໂດດດ່ຽວ. ສິ່ງທີ່ໂດດເດັ່ນໃນອາທິດນີ້ແມ່ນຂອບເຂດຂອງການເຜີຍແຜ່ຊ້ຳໆໃນທົ່ວຊຸດແພັກເກດດຽວກັນ, ການນຳໃຊ້ຮູບແບບການຕັ້ງຊື່ຄືນໃໝ່, ແລະວິທີທີ່ຊຸດແພັກເກດທີ່ເປັນອັນຕະລາຍຖືກປອມແປງໃຫ້ເບິ່ງຄືກັບການເພິ່ງພາອາໄສທີ່ຖືກຕ້ອງພາຍໃນການຈັດສົ່ງຊອບແວທີ່ແທ້ຈິງ. pipelines.
ພາບລວມປະຈຳອາທິດນີ້ແມ່ນສ່ວນໜຶ່ງຂອງ Malicious Code Digest ທີ່ກຳລັງດຳເນີນຢູ່ຂອງພວກເຮົາ, ບ່ອນທີ່ພວກເຮົາກວດສອບໄພຂົ່ມຂູ່ໃໝ່ ແລະ ໃຫ້ຂໍ້ມູນທີ່ສາມາດປະຕິບັດໄດ້ເພື່ອຊ່ວຍທີມງານ DevSecOps ປົກປ້ອງ pipelineກ່ອນທີ່ຈະເກີດຄວາມເສຍຫາຍ.
ຂໍໃຫ້ພວກເຮົາວິເຄາະສິ່ງທີ່ພວກເຮົາພົບເຫັນໃນອາທິດນີ້ ແລະ ເປັນຫຍັງມັນຈຶ່ງສຳຄັນ.
| ລະບົບນິເວດ | Package | ວັນທີ່ສະຫມັກ |
|---|---|---|
| npm | @cloudplatform-single-spa/ການບໍລິຫານ:99.99.100 | ອາດ 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | ອາດ 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | ອາດ 30, 2026 |
| npm | @ເສັ້ນທາງເຂົ້າງ່າຍ/ເສັ້ນທາງລົງຈອດ:99.9.5 | ອາດ 30, 2026 |
| npm | @easy-entry/outside-registration-fop-navigator:99.9.5 | ອາດ 30, 2026 |
| npm | @easy-entry/routes:99.9.5 | ອາດ 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | ອາດ 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | ອາດ 30, 2026 |
| vscode | xampp-manager:5.1.3 | ອາດ 30, 2026 |
| npm | @chat-template/auth:1.0.0 | ອາດ 31, 2026 |
| npm | ຮູບແບບ json-to-simple-graphql:1.0.0 | Jun 1, 2026 |
| npm | @gs-select/ແອັບພລິເຄຊັນປະຢັດລູກຄ້າ:99.0.0 | Jun 1, 2026 |
| npm | ນັກຂ່າວ nemo:1.8.2 | Jun 1, 2026 |
| npm | cms-github:4.2.4 | Jun 1, 2026 |
| npm | cms-helpgit:4.2.6 | Jun 1, 2026 |
| npm | cms-helpgit:4.2.8 | Jun 1, 2026 |
| npm | cms-storehub:1.3.4 | Jun 1, 2026 |
| npm | cms-storehub:1.3.5 | Jun 1, 2026 |
| npm | cms-storehub:1.3.6 | Jun 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Jun 1, 2026 |
| npm | ຍຸດທະສາດສະຖານທີ່ຂາຍຍ່ອຍ-frontend:1.1.1 | Jun 1, 2026 |
| npm | ຍຸດທະສາດສະຖານທີ່ຂາຍຍ່ອຍ-frontend:1.1.2 | Jun 1, 2026 |
| npm | conversa-sdk:2.0.2 | Jun 1, 2026 |
| npm | ເວວຕຣິກ:9.0.0 | Jun 1, 2026 |
| npm | ເວວຕຣິກ:9.0.1 | Jun 1, 2026 |
| npm | jingmeideshishi:1.0.4 | Jun 1, 2026 |
| npm | jingmeideshishi:1.0.5 | Jun 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Jun 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Jun 1, 2026 |
| npm | @ownit/core:99.0.0 | Jun 1, 2026 |
| npm | ເອກະສານຄົນເຈັບ:75.0.0 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Jun 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Jun 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Jun 1, 2026 |
| npm | @emcd-vue/b2b-pay-form:5.7.4 | Jun 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.8 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.12 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.16 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.17 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.18 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.19 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.20 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.21 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.22 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.23 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.24 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.25 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.26 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.27 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.28 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.29 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.30 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.31 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.32 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.41 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.42 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.43 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.44 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.45 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.46 | Jun 2, 2026 |
| npm | meoo-ui-helpers:1.0.1 | Jun 2, 2026 |
| npm | @langgraphjs/toolkit:1.2.10 | Jun 2, 2026 |
| npm | eyevox:9.0.1 | Jun 2, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.53 | Jun 3, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.54 | Jun 3, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.55 | Jun 3, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.56 | Jun 3, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.57 | Jun 3, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.61 | Jun 3, 2026 |
| npm | @sentry-browser-sdk/ໂຫນດໂປຣໄຟລ໌:1.0.1 | Jun 4, 2026 |
| npm | @sentry-browser-sdk/ໂຫນດໂປຣໄຟລ໌:1.0.2 | Jun 4, 2026 |
| npm | @sentry-browser-sdk/ໂຫນດໂປຣໄຟລ໌:1.0.5 | Jun 4, 2026 |
| npm | ບໍລິການລະດົມທຶນ:1.0.0 | Jun 4, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.67 | Jun 4, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.68 | Jun 4, 2026 |
| npm | ຮູບແບບການໂຕ້ຕອບ vg:40.0.5 | Jun 4, 2026 |
| npm | internallib_v346:1.0.3 | Jun 4, 2026 |
| npm | internallib_v346:1.0.5 | Jun 4, 2026 |
| npm | internallib_v346:1.0.9 | Jun 4, 2026 |
| npm | ai-sdk-helpers:0.2.1 | Jun 4, 2026 |
| npm | ai-sdk-helpers:0.3.0 | Jun 4, 2026 |
| npm | ai-sdk-helpers:0.3.1 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.1.0 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.1.1 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.3.0 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.4.0 | Jun 4, 2026 |
| npm | ai-sdk-helpers:1.4.2 | Jun 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Jun 4, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.0 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.1 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.2 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.3 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.4 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.5 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.13 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.14 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.15 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.33 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.34 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.35 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.36 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.37 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.38 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.58 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.59 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.60 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.62 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.63 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.64 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.65 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.66 | Jun 5, 2026 |
| npm | ຄວາມອ່ອນໄຫວ: 2.5.69 | Jun 5, 2026 |
ຮັກສາຄວາມປອດໄພຂອງ open source dependencies ຂອງທ່ານຈາກຊ່ອງໂຫວ່ ແລະ ລະຫັດອັນຕະລາຍ
ຢ່າປ່ອຍໃຫ້ແພັກເກດທີ່ເປັນອັນຕະລາຍໄປເຖິງເຈົ້າ pipelines. ການກວດຫາມັລແວຣ໌ Xygeni ໄລຍະຕົ້ນ ເຮັດໃຫ້ທີມງານຂອງທ່ານເບິ່ງເຫັນໄພຂົ່ມຂູ່ທີ່ສຳຄັນທີ່ສຸດໄດ້ໃນເວລາຈິງ, ໂດຍຈັບເອົາການເພິ່ງພາອາໄສທີ່ເປັນອັນຕະລາຍກ່ອນທີ່ພວກເຂົາຈະແຕະຕ້ອງຊອບແວຂອງທ່ານ.
ດັ່ງທີ່ບົດສະຫຼຸບຂອງອາທິດນີ້ເຮັດໃຫ້ເຫັນໄດ້ຊັດເຈນ, ປະລິມານ ແລະ ຄວາມຊັບຊ້ອນຂອງແຄມເປນແພັກເກດທີ່ເປັນອັນຕະລາຍບໍ່ໄດ້ຊ້າລົງ. ການຮົ່ວໄຫຼຂອງເວີຊັນທີ່ປະສານງານ, ການປອມແປງໂມດູນການຈ່າຍເງິນ, ແລະ ຊື່ແພັກເກດທີ່ຟັງຄືພາຍໃນແມ່ນພຽງແຕ່ບາງຍຸດທະວິທີທີ່ຜູ້ໂຈມຕີໃຊ້ເພື່ອຫຼີກລ່ຽງ. standard ການປ້ອງກັນ. ການຢູ່ຂ້າງໜ້າໄພຂົ່ມຂູ່ເຫຼົ່ານີ້ຕ້ອງການຫຼາຍກວ່າການກວດສອບເປັນໄລຍະ, ມັນຮຽກຮ້ອງໃຫ້ມີການຕິດຕາມກວດກາຢ່າງຕໍ່ເນື່ອງໃນທຸກໆທະບຽນທີ່ທີມງານຂອງທ່ານເພິ່ງພາອາໄສ.
ຊີເຈນີ Open Source Security ວິທີແກ້ໄຂສະແກນ ແລະ ບລັອກແພັກເກດທີ່ເປັນອັນຕະລາຍຢູ່ຈຸດທີ່ເຜີຍແຜ່, ຜ່ານ npm, PyPI, ແລະອື່ນໆ. ໂດຍການຈັດລຳດັບຄວາມສຳຄັນຂອງຊ່ອງໂຫວ່ທີ່ກໍ່ໃຫ້ເກີດຄວາມສ່ຽງໃນໂລກຕົວຈິງທີ່ໃຫຍ່ທີ່ສຸດ (ແລະ ເຮັດໃຫ້ເສັ້ນທາງການແກ້ໄຂງ່າຍຂຶ້ນສຳລັບທີມ DevSecOps ຂອງທ່ານ) Xygeni ຊ່ວຍໃຫ້ທ່ານຮັກສາການຈັດສົ່ງຊອບແວທີ່ປອດໄພ ແລະ ໜ້າເຊື່ອຖືໂດຍບໍ່ເຮັດໃຫ້ການພັດທະນາຊ້າລົງ.




