Typosquatting detection membantu CI menangkap nama package npm dan Packagist yang mirip paket sah sebelum install dan sebelum malware berjalan.
Koding
Semua hal yang bisa saya bagikan tentang dunia koding/pemprograman, entah itu paling mudah ataupun yang bagi saya susah…
Composer plugin allow-listing mencegah plugin Composer acak menjalankan kode saat install atau update. Ini konfigurasi aman untuk PHP, WordPress, Laravel, dan Symfony.
Matikan npm lifecycle scripts di CI untuk mengurangi risiko postinstall RCE, dependency beracun, dan pencurian secret saat build/test.
Lockfile integrity npm Composer mencegah dependency drift diam-diam, update transitif berbahaya, dan perubahan package tanpa review di CI.
Protestware beda dari credential theft atau typosquat. Pahami motifnya agar kontrol governance, legal, dan supply chain security yang kamu pasang tepat.
Behavior-based package triage membantu mendeteksi rilis paket yang mencurigakan lewat anomaly scoring, maintainer churn, dan publish timing, bahkan sebelum CVE muncul.
Install-time script abuse sering jalan lewat postinstall, setup.py, build backend, dan native extension, sebelum aplikasi ever start.
Transitive dependency blast radius mapping membantu tim menemukan package transitif kecil yang bisa menjangkau secret prod, build step, dan install script sebelum insiden supply chain terjadi.
Dependency confusion modern tidak berhenti di public vs private. Pelajari naming policy, namespace hygiene, dan proxy registry yang benar.
Lockfile membantu reproducibility, tapi tidak otomatis menghentikan malicious update, compromised maintainer, atau mirror yang tercemar.
