Dependency confusion: атакующий публикует пакет с именем вашего private пакета в public npm — npm выберет более высокую версию. Защита: 1) Публикуй placeholder пакеты с теми же именами в public npm (пустые, с description). 2) Используй private registry (Verdaccio, GitHub Packages). 3) .npmrc: @company:registry=https://your-registry.com. 4) npm audit и snyk для регулярной проверки. 5) lock файлы в git. 6) Проверяй что @scope пакеты идут из правильного registry. Автоматизируй через dependabot.
Как настроить dependency confusion защиту в Node.js проекте?
Senior
236 просмотровAFK Offer AI
Как работают serverless функции на Edge (Cloudflare Workers, Vercel)?