برنامه نویسی
مسدود کردن وابستگیهای منبع باز ناامن در درخواستهای کشش با Minder و OSV.dev
با استفاده از دادههای پروژه منبع باز OSV.dev و منابع دیگر، Minder اکنون میتواند درخواستهای کششی که حاوی بستههای مخرب و منسوخ هستند را مسدود کند، به طوری که نتوانند ناخواسته در کد شما ادغام شوند.
امروزه اکثر تیم ها از اسکنرهای آسیب پذیری برای یافتن CVE ها در وابستگی های منبع باز خود استفاده می کنند. در حالی که اجتناب از وابستگیهایی با آسیبپذیریهای شناخته شده مهم است، این اسکنرها ممکن است از پرچمگذاری بستههای مخرب یا منسوخ شدهای که هیچ CVE ندارند، غفلت کنند، حتی اگر این بستهها ممکن است تهدیدی حتی بزرگتر برای زنجیره تامین شما باشند.
مقاله کامل Yolanda Robla و Adolph “Pig” Garcia Veytia را اینجا بخوانید
