SECURITY: Les gestionnaires de packages restent une surface critique d’attaque de la chaîne logicielle

L’ENISA avertit que les gestionnaires de packages restent exposés aux composants tiers vulnérables et aux attaques contre les processus de distribution logicielle.

Chaque script analytique, prototype IA et Decision App Supply Chain hérite des risques liés aux dépendances Python, JavaScript, conteneurs et autres composants. Des sources approuvées, des fichiers de verrouillage, la signature, la surveillance et des builds reproductibles sont nécessaires.

Plus de détails sont disponibles dans l’avis ENISA.