onestepcheckout/anti-hijack

Packagist 的反劫持

维护者

详细信息

bitbucket.org/onestepcheckout/anti-hijack

主页

源代码

安装: 0

依赖者: 0

建议者: 0

安全: 0

类型:项目

dev-master 2021-02-11 11:54 UTC

proprietary 316e5560c916ac9b3386514bba57c6cc9b6e96a5

This package is not auto-updated.

Last update: 2024-09-21 04:20:29 UTC

README

此包包含此 README.md 文件

参考: https://blog.packagist.com/preventing-dependency-hijacking/ https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610

简要情况如下:如果一个劫持者使用仅在私有仓库中之前使用过的假供应商前缀,并发布一个更高版本的包到 packagist.org,那么可以安装 packagist.org 的包。这可能导致恶意软件进入项目。

Composer 包总是包含供应商前缀,因此使用此包,我们避免恶意意图的人在我们软件中利用这一点。

截至 Composer 2.0,仓库默认是规范化的,这意味着如果包在私有仓库中找到,Composer 将忽略 packagist.org 的包。然而,目前 2.0 的使用并不太广泛。

我们的 OneStepCheckout 软件(适用于 Magento 1 和 Magento 2)是商业分销的,可通过我们自己的私有仓库以及 Magento Marketplace 的仓库获取。

在这些渠道上的供应商前缀是 onestepcheckout,这同时也是我们的公司名称和我们的网站(在 https://www.onestepcheckout.com)域名。

全球使用我们软件的 Magento 商家销售额数百万,如果 packagist.org 存储库被恶意代码劫持,与我们包名匹配,可能会导致网店被劫持。

我们希望随着 Composer 2 的普及,这个问题将会得到解决,但到目前为止,我们认为需要公共包。

OneStepCheckout,2021 年 2 月