🔵 عنوان مقاله
Dismantling a Critical Supply Chain Risk in VSCode Extension Marketplaces (7 minute read)
🟢 خلاصه مقاله:
بیش از ۵۵۰ راز حساس در افزونههای عمومی VSCode افشا شد، از جمله AWS و GitHub tokens. علت اصلی، مدیریت ناامن فایلها در فرایند توسعه و انتشار بود؛ مشکلی که میتواند به مهاجمان امکان دهد با سوءاستفاده از توکنها بهروزرسانیهای مخرب منتشر کنند و حملات زنجیرهتأمین را آغاز کنند. در واکنش، پلتفرمها توکنهای آسیبدیده را باطل کردند، ناشران را مطلع ساختند و اسکن خودکار را تقویت کردند. این حادثه بر ضرورت ایمنسازی اکوسیستم افزونهها تأکید دارد: حذف فایلهای حساس از بستهها، استفاده از secret managers بهجای درج مستقیم کلیدها، محدود کردن سطح دسترسی توکنها، و اسکن مداوم برای کشف نشت رازها.
#SupplyChainSecurity #VSCode #DevSecOps #SecretsManagement #AppSec #TokenSecurity #SoftwareSupplyChain #SecureCoding
🟣لینک مقاله:
https://www.wiz.io/blog/supply-chain-risk-in-vscode-extension-marketplaces?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Dismantling a Critical Supply Chain Risk in VSCode Extension Marketplaces (7 minute read)
🟢 خلاصه مقاله:
بیش از ۵۵۰ راز حساس در افزونههای عمومی VSCode افشا شد، از جمله AWS و GitHub tokens. علت اصلی، مدیریت ناامن فایلها در فرایند توسعه و انتشار بود؛ مشکلی که میتواند به مهاجمان امکان دهد با سوءاستفاده از توکنها بهروزرسانیهای مخرب منتشر کنند و حملات زنجیرهتأمین را آغاز کنند. در واکنش، پلتفرمها توکنهای آسیبدیده را باطل کردند، ناشران را مطلع ساختند و اسکن خودکار را تقویت کردند. این حادثه بر ضرورت ایمنسازی اکوسیستم افزونهها تأکید دارد: حذف فایلهای حساس از بستهها، استفاده از secret managers بهجای درج مستقیم کلیدها، محدود کردن سطح دسترسی توکنها، و اسکن مداوم برای کشف نشت رازها.
#SupplyChainSecurity #VSCode #DevSecOps #SecretsManagement #AppSec #TokenSecurity #SoftwareSupplyChain #SecureCoding
🟣لینک مقاله:
https://www.wiz.io/blog/supply-chain-risk-in-vscode-extension-marketplaces?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
wiz.io
Supply Chain Risk in VSCode Extension Marketplaces | Wiz Blog
Wiz Research uncovered 500+ leaked secrets in VSCode and Open VSX extensions, exposing 150K installs to risk. Learn what happened and how it was fixed.