Perlindungan Kebingungan Ketergantungan di PHP dengan Komposer

Alex Birsan baru-baru ini menerbitkan artikel "Kebingungan Ketergantungan: Bagaimana Saya Meretas ke Apple, Microsoft dan Lusinan Perusahaan Lain," di mana dia menjelaskan bagaimana dia menggunakan manajer paket tingkat bahasa seperti npm (Javascript), pip (Python), dan permata ( Ruby) untuk memaksa perusahaan menginstal dan menjalankan kode berbahaya di infrastruktur mereka.



Masalahnya adalah fakta bahwa perusahaan merujuk ke paket internal dengan nama, misalnya my-internal-package



, dan penyerang menerbitkan paket dengan nama yang sama di registri pusat / repositori paket bahasa (untuk PHP adalah packagist.org ) my-internal-package



memiliki versi yang lebih tinggi. Perusahaan kemudian menginstal dan menjalankan paket-paket berbahaya ini alih-alih paket internal mereka karena manajer paket mereka memilih nomor versi yang lebih tinggi dari repositori paket standar daripada dari repositori internal.



Berbicara tentang solusi untuk masalah ini untuk Composer dan Packagist di Twitter, Geordie merangkum berbagai langkah yang digunakan Composer dan Packagist untuk melindungi perusahaan dari masalah serius ini:

1. Composer , , my-company/our-internal-pkg
   
   
   
   . packagist.org. Packagist.org . my-company/
   
   
   
   . packagist.org ( ), , my-company/dummy-pkg
   
   
   
   , , , . my-company/my-internal-package
   
   
   
   , «» packagist.org.
2. Composer 2.0, . , , . packagist.org, . , , , Composer .
3. Private Packagist , packagist.org, , , . Private Packagist Composer 1.x , Composer 2.
4. Private Packagist packagist.org , Composer. , .
5. Composer (lock file) URL . composer install, , . , , .
6. Dengan Composer 2, Anda dapat mengecualikan pemuatan nama paket atau pola untuk setiap repositori. Jadi Anda dapat yakin bahwa bahkan paket yang salah eja yang tidak ada tanpa prefiks terdaftar di packagist.org tidak akan dapat mengunduh dari packagist.org dengan mengganti konfigurasi default di composer.json. Filter pengecualian ini juga dapat digunakan untuk repositori paket pihak ketiga tambahan.

    "repositories": {
        "private-repo": {
            "url": "https://my-repo.internal"
        }
        "packagist.org": {
            "url": "https://repo.packagist.org",
            "exclude": ["myprefix/*"]
        }
    }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Serangan pada rantai pasokan yang serupa dengan yang dijelaskan Alex adalah ancaman serius bagi perusahaan dan telah disorot dalam berita akhir-akhir ini, jadi penting bagi bisnis Anda untuk memahami risiko yang dihadapinya dan mengambil tindakan untuk menguranginya.

---

Periklanan

Apakah Anda mencari VDS untuk proyek debugging, server untuk pengembangan dan penyebaran? Anda pasti klien kami :) Penagihan harian server, buat konfigurasi Anda sendiri dalam beberapa klik, lisensi anti-DDoS dan Windows sudah termasuk dalam harga.