Mani nedaudz mulsina, ka šāds elementārs uzbrukuma vektors ir paslīdējis garām lielo kantoru cybersec komandām. https://t.co/WfGMVU4YFq 4 atbildes

Kaspars Foigts
(2021-02-11 19:26:38)
@twitter		 Mani nedaudz mulsina, ka šāds elementārs uzbrukuma vektors ir paslīdējis garām lielo kantoru cybersec komandām. https://t.co/WfGMVU4YFq
Agris Krusts
(2021-02-11 21:10:31)
@twitter		 @laacz Šādas problēmas nav nekas jauns, bet nedomāju, ka daudzi ieklausās, ja auditori vai drošībnieki piemin to kā problēmu. Šāda veida uzbrukumi parasti nav auditu tvērumā, tāpēc, ja piemin, tad kā risku. Realitātē sasniegums ir, ja programmētāji neizmanto cauras biblotēkas
Kaspars Foigts
(2021-02-11 21:12:10)
@twitter		 @agris_krusts Izejas koda audita tvērumā noteikti šo var skaisti nodemonstrēt (if applicable, protams).
Agris Krusts
(2021-02-11 21:18:40)
@twitter		 @laacz Tādā auditā uzrakstīs, ka šī lieta ir risks un pieliks atbilstošu riska līmeni. Bet šādi auditi ir relatīvi reti, jo ir dārgi.
Kaspars Foigts
(2021-02-11 22:11:52)
@twitter		 @agris_krusts Atradu. Es uz šo rezolūciju problēmu vienam kantorim virspusējā risinājuma pirmsakceptēšanas auditā norādīju, ka tas ir reāls risks npm konfliktu rezolūcijas dēļ . Dziļāk nelīdu, jo js/ts nav mans lauciņš. Es tikai toč nezināju, ka tas tik sarežģīti mitigējams.
© 2009-2017 civciv ;)