Karibu kila wiki, mifumo yetu ya kugundua programu hasidi huchanganua maelfu ya vifurushi vipya na vilivyosasishwa katika sajili za umma kama vile npm na PyPI. Wiki hii ilikuwa na shughuli nyingi.
Tumethibitisha Vifurushi 198 vya nia mbaya, hasa katika npm, pamoja na visa vya ziada katika viendelezi vya PyPI, OpenVSX, Composer, na VS Code. Kadhaa zilionekana katika makundi yaliyoratibiwa, huku matoleo hasidi yakirudiwa yakichapishwa chini ya majina yaleyale au katika familia za vifurushi vinavyohusiana kwa karibu. Kesi iliyojitokeza ilikuwa sensivity kifurushi, ambacho kilijaza npm na matoleo zaidi ya 60 yaliyotolewa katika safu ya 2.5.x. Makundi mengine mashuhuri yalijumuisha ai-sdk-helpers (Matoleo 8 yanayolenga watengenezaji wa AI), @antoncallahan/aws-user-helper (Matoleo 7 yanayoiga huduma ya AWS), @apple-pay-trust na @google-pay-trust familia (kuiga moduli za malipo), @frengki0707/google-cloud-clone (matoleo 5 ya kudanganya Google Cloud), na cms-storehub, cms-helpgit, na cms-github (kulenga CMS pipelines). Vifurushi vingi viliiga moduli za malipo na malipo, enterprise na vifurushi vya ndani vya wavuti, wateja wa uchanganuzi, misingi ya UI, huduma za wasanidi programu, wachunguzi wa vipengele, vifurushi vyenye mandhari ya wingu na Google, na moduli zingine zinazoaminika sana katika mtiririko wa kazi wa kisasa wa maendeleo.
Hizi hazikuwa kasoro pekee. Kilichojitokeza wiki hii ni kiwango cha uchapishaji unaorudiwa katika familia zile zile za vifurushi, utumiaji tena wa mifumo ya majina, na jinsi vifurushi hasidi vilivyofichwa kuonekana kama utegemezi halali ndani ya uwasilishaji halisi wa programu. pipelines.
Picha hii ya kila wiki ni sehemu ya Muhtasari wetu wa Kanuni Mbaya unaoendelea, ambapo tunathibitisha vitisho vipya na kutoa taarifa za kijasusi zinazoweza kutekelezwa ili kusaidia timu za DevSecOps kulinda pipelinekabla ya uharibifu kutokea.
Hebu tuchambue kile tulichokipata wiki hii na kwa nini ni muhimu.
| mazingira | mfuko | tarehe |
|---|---|---|
| npm | @cloudplatform-single-spa/utawala:99.99.100 | Huenda 30, 2026 |
| npm | @cloudplatform-single-spa/svp-s3-storage:99.99.100 | Huenda 30, 2026 |
| npm | @maximvs1538/os-npm:99.0.0 | Huenda 30, 2026 |
| npm | @njia-rahisi-kuingia/njia-za-kutua:99.9.5 | Huenda 30, 2026 |
| npm | @rahisi-kuingia/navigator-ya-usajili-wa-nje-ya-fop:99.9.5 | Huenda 30, 2026 |
| npm | @njia rahisi kuingia/njia:99.9.5 | Huenda 30, 2026 |
| npm | @t-in-one/form_product_token:5.7.1 | Huenda 30, 2026 |
| npm | @capibar.chat/ui-kit:99.5.7 | Huenda 30, 2026 |
| vscode | xampp-meneja: 5.1.3 | Huenda 30, 2026 |
| npm | @kiolezo-chat/idhini:1.0.0 | Huenda 31, 2026 |
| npm | schema-ya-json-hadi-rahisi-ya-graphql:1.0.0 | Juni 1, 2026 |
| npm | @gs-select/akiba-ya-mteja-programu:99.0.0 | Juni 1, 2026 |
| npm | mwandishi wa habari wa nemo:1.8.2 | Juni 1, 2026 |
| npm | cms-github:4.2.4 | Juni 1, 2026 |
| npm | cms-helpgit:4.2.6 | Juni 1, 2026 |
| npm | cms-helpgit:4.2.8 | Juni 1, 2026 |
| npm | kitovu cha duka cha cms: 1.3.4 | Juni 1, 2026 |
| npm | kitovu cha duka cha cms: 1.3.5 | Juni 1, 2026 |
| npm | kitovu cha duka cha cms: 1.3.6 | Juni 1, 2026 |
| pypi | simtooreal-cli:0.3.0 | Juni 1, 2026 |
| npm | mkakati-wa-eneo-la-rejareja-mbele: 1.1.1 | Juni 1, 2026 |
| npm | mkakati-wa-eneo-la-rejareja-mbele: 1.1.2 | Juni 1, 2026 |
| npm | mazungumzo-sdk:2.0.2 | Juni 1, 2026 |
| npm | veltrix:9.0.0 | Juni 1, 2026 |
| npm | veltrix:9.0.1 | Juni 1, 2026 |
| npm | jingmeideshishi:1.0.4 | Juni 1, 2026 |
| npm | jingmeideshishi:1.0.5 | Juni 1, 2026 |
| npm | @tse-digital/core:99.0.0 | Juni 1, 2026 |
| npm | @telenor-se/core:99.0.0 | Juni 1, 2026 |
| npm | @ownit/core:99.0.0 | Juni 1, 2026 |
| npm | hati za mgonjwa: 75.0.0 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.69 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.68 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.82 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.80 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.81 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.83 | Juni 1, 2026 |
| npm | @antoncallahan/aws-user-helper:6767.67.3 | Juni 1, 2026 |
| npm | @emcd-vue/auth:6.4.9 | Juni 1, 2026 |
| npm | @emcd-vue/b2b-form-pay:5.7.4 | Juni 1, 2026 |
| npm | @ccrm/user-storage-api-axios:5.0.1 | Juni 2, 2026 |
| npm | unyeti: 2.5.8 | Juni 2, 2026 |
| npm | unyeti: 2.5.12 | Juni 2, 2026 |
| npm | unyeti: 2.5.16 | Juni 2, 2026 |
| npm | unyeti: 2.5.17 | Juni 2, 2026 |
| npm | unyeti: 2.5.18 | Juni 2, 2026 |
| npm | unyeti: 2.5.19 | Juni 2, 2026 |
| npm | unyeti: 2.5.20 | Juni 2, 2026 |
| npm | unyeti: 2.5.21 | Juni 2, 2026 |
| npm | unyeti: 2.5.22 | Juni 2, 2026 |
| npm | unyeti: 2.5.23 | Juni 2, 2026 |
| npm | unyeti: 2.5.24 | Juni 2, 2026 |
| npm | unyeti: 2.5.25 | Juni 2, 2026 |
| npm | unyeti: 2.5.26 | Juni 2, 2026 |
| npm | unyeti: 2.5.27 | Juni 2, 2026 |
| npm | unyeti: 2.5.28 | Juni 2, 2026 |
| npm | unyeti: 2.5.29 | Juni 2, 2026 |
| npm | unyeti: 2.5.30 | Juni 2, 2026 |
| npm | unyeti: 2.5.31 | Juni 2, 2026 |
| npm | unyeti: 2.5.32 | Juni 2, 2026 |
| npm | unyeti: 2.5.41 | Juni 2, 2026 |
| npm | unyeti: 2.5.42 | Juni 2, 2026 |
| npm | unyeti: 2.5.43 | Juni 2, 2026 |
| npm | unyeti: 2.5.44 | Juni 2, 2026 |
| npm | unyeti: 2.5.45 | Juni 2, 2026 |
| npm | unyeti: 2.5.46 | Juni 2, 2026 |
| npm | wasaidizi wa meoo-ui:1.0.1 | Juni 2, 2026 |
| npm | @langgraphjs/kifaa cha zana:1.2.10 | Juni 2, 2026 |
| npm | eyevox:9.0.1 | Juni 2, 2026 |
| npm | unyeti: 2.5.53 | Juni 3, 2026 |
| npm | unyeti: 2.5.54 | Juni 3, 2026 |
| npm | unyeti: 2.5.55 | Juni 3, 2026 |
| npm | unyeti: 2.5.56 | Juni 3, 2026 |
| npm | unyeti: 2.5.57 | Juni 3, 2026 |
| npm | unyeti: 2.5.61 | Juni 3, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.1 | Juni 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.2 | Juni 4, 2026 |
| npm | @sentry-browser-sdk/profiling-node:1.0.5 | Juni 4, 2026 |
| npm | huduma ya kuchangisha fedha:1.0.0 | Juni 4, 2026 |
| npm | unyeti: 2.5.67 | Juni 4, 2026 |
| npm | unyeti: 2.5.68 | Juni 4, 2026 |
| npm | modeli-ya mwingiliano wa vg:40.0.5 | Juni 4, 2026 |
| npm | internallib_v346:1.0.3 | Juni 4, 2026 |
| npm | internallib_v346:1.0.5 | Juni 4, 2026 |
| npm | internallib_v346:1.0.9 | Juni 4, 2026 |
| npm | wasaidizi wa ai-sdk:0.2.1 | Juni 4, 2026 |
| npm | wasaidizi wa ai-sdk:0.3.0 | Juni 4, 2026 |
| npm | wasaidizi wa ai-sdk:0.3.1 | Juni 4, 2026 |
| npm | wasaidizi wa ai-sdk:1.1.0 | Juni 4, 2026 |
| npm | wasaidizi wa ai-sdk:1.1.1 | Juni 4, 2026 |
| npm | wasaidizi wa ai-sdk:1.3.0 | Juni 4, 2026 |
| npm | wasaidizi wa ai-sdk:1.4.0 | Juni 4, 2026 |
| npm | wasaidizi wa ai-sdk:1.4.2 | Juni 4, 2026 |
| npm | @achuthvp/postinstall-poc:1.0.3 | Juni 4, 2026 |
| npm | unyeti: 2.5.0 | Juni 5, 2026 |
| npm | unyeti: 2.5.1 | Juni 5, 2026 |
| npm | unyeti: 2.5.2 | Juni 5, 2026 |
| npm | unyeti: 2.5.3 | Juni 5, 2026 |
| npm | unyeti: 2.5.4 | Juni 5, 2026 |
| npm | unyeti: 2.5.5 | Juni 5, 2026 |
| npm | unyeti: 2.5.13 | Juni 5, 2026 |
| npm | unyeti: 2.5.14 | Juni 5, 2026 |
| npm | unyeti: 2.5.15 | Juni 5, 2026 |
| npm | unyeti: 2.5.33 | Juni 5, 2026 |
| npm | unyeti: 2.5.34 | Juni 5, 2026 |
| npm | unyeti: 2.5.35 | Juni 5, 2026 |
| npm | unyeti: 2.5.36 | Juni 5, 2026 |
| npm | unyeti: 2.5.37 | Juni 5, 2026 |
| npm | unyeti: 2.5.38 | Juni 5, 2026 |
| npm | unyeti: 2.5.58 | Juni 5, 2026 |
| npm | unyeti: 2.5.59 | Juni 5, 2026 |
| npm | unyeti: 2.5.60 | Juni 5, 2026 |
| npm | unyeti: 2.5.62 | Juni 5, 2026 |
| npm | unyeti: 2.5.63 | Juni 5, 2026 |
| npm | unyeti: 2.5.64 | Juni 5, 2026 |
| npm | unyeti: 2.5.65 | Juni 5, 2026 |
| npm | unyeti: 2.5.66 | Juni 5, 2026 |
| npm | unyeti: 2.5.69 | Juni 5, 2026 |
Linda Utegemezi Wako wa Chanzo Huria dhidi ya Udhaifu na Msimbo Hasidi
Usiruhusu vifurushi vibaya vikufikie pipelines. Ugunduzi wa Mapema wa Programu Hasidi ya Xygeni Huipa timu yako mwonekano wa moja kwa moja kuhusu vitisho muhimu zaidi, na kukamata vitegemezi hatari kabla havijagusa programu yako.
Kama muhtasari wa wiki hii unavyoonyesha wazi, wingi na ujanja wa kampeni hasidi za vifurushi haupungui kasi. Mafuriko ya toleo lililoratibiwa, uigaji wa moduli za malipo, na majina ya vifurushi vinavyoonekana kama vya ndani ni baadhi tu ya mbinu ambazo washambuliaji hutumia kutoroka. standard ulinzi. Kuendelea mbele ya vitisho hivi kunahitaji zaidi ya ukaguzi wa mara kwa mara, kunahitaji ufuatiliaji endelevu katika kila sajili ambayo timu zako zinaitegemea.
Xygeni's Open Source Security Suluhisho huchanganua na kuzuia vifurushi hatari wakati wa kuchapishwa, kote npm, PyPI, na zaidi. Kwa kuweka kipaumbele katika muktadha udhaifu unaosababisha hatari kubwa zaidi katika ulimwengu halisi (na kurahisisha njia ya kurekebisha kwa timu zako za DevSecOps) Xygeni hukusaidia kudumisha uwasilishaji salama na wa kuaminika wa programu bila kupunguza kasi ya uundaji.




