Les risques de sécurité liés au changement de propriétaire de package

15 Décembre 20196 min de lecture

Les risques de sécurité liés au changement de propriétaire de package

Admin
SécuritéNPMSupply Chain

Le transfert de propriété d'un package populaire sur npm, PyPI ou autre registre peut représenter un risque majeur de sécurité.

De nombreux cas récents ont montré que des comptes de mainteneurs historiques pouvaient être récupérés par des acteurs malveillants.

Exemples concrets de compromission

En 2018, le package event-stream a été compromis après le transfert de propriété, touchant des millions de projets Node.js.

La confiance aveugle en un package tiers est l'une des plus grandes vulnérabilités modernes.

Comment se protéger ?

  • Vérifiez toujours l'historique des mainteneurs sur GitHub
  • Utilisez npm audit et yarn audit systématiquement
  • Activez GitHub Dependabot pour les alertes automatiques
  • Préférez les packages avec une activité récente

La vigilance reste la meilleure arme contre les attaques par la chaîne d’approvisionnement.