Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Angriffe zur Substitution von Abhängigkeiten
Paketmanager vereinfachen das Verpacken und Teilen von wiederverwendbarem Code. Bei diesen Paketen kann es sich um private Pakete handeln, die von einer Organisation zur Verwendung in ihren Anwendungen entwickelt wurden, oder es kann sich um öffentliche Pakete handeln, in der Regel Open-Source-Pakete, die außerhalb einer Organisation entwickelt und über öffentliche Paket-Repositorys verteilt werden. Bei der Anforderung von Paketen verlassen sich Entwickler auf ihren Paketmanager, um neue Versionen ihrer Abhängigkeiten abzurufen. Angriffe zur Substitution von Abhängigkeiten, auch bekannt als Dependency Confusion Attacks, nutzen die Tatsache aus, dass ein Paketmanager normalerweise keine Möglichkeit hat, legitime Versionen eines Pakets von bösartigen Versionen zu unterscheiden.
Angriffe zur Substitution von Abhängigkeiten gehören zu einer Untergruppe von Hacks, die als Software-Supply-Chain-Angriffe bezeichnet werden. Ein Angriff auf die Software-Lieferkette ist ein Angriff, bei dem Sicherheitslücken überall in der Software-Lieferkette ausgenutzt werden.
Ein Angriff zur Substitution von Abhängigkeiten kann sich gegen jeden richten, der sowohl intern entwickelte Pakete als auch Pakete verwendet, die aus öffentlichen Repositorien abgerufen wurden. Die Angreifer identifizieren interne Paketnamen und platzieren dann strategisch bösartigen Code mit demselben Namen in öffentlichen Paket-Repositorys. In der Regel wird der bösartige Code in einem Paket mit einer hohen Versionsnummer veröffentlicht. Paketmanager rufen den bösartigen Code aus diesen öffentlichen Feeds ab, weil sie glauben, dass es sich bei den bösartigen Paketen um die neuesten Versionen des Pakets handelt. Dies führt zu einer „Verwechslung“ oder „Ersetzung“ zwischen dem gewünschten Paket und dem bösartigen Paket, wodurch der Code kompromittiert wird.
Um Angriffe durch die Substitution von Abhängigkeiten zu verhindern, AWS CodeArtifact bietet es Kontrollen zur Paketherkunft. Kontrollen zur Paketherkunft sind Einstellungen, die steuern, wie Pakete zu Ihren Repositorys hinzugefügt werden können. Mit diesen Steuerelementen kann sichergestellt werden, dass Paketversionen nicht gleichzeitig direkt in Ihrem Repository veröffentlicht und aus öffentlichen Quellen aufgenommen werden können. So schützen Sie sich vor Angriffen, die Abhängigkeiten ersetzen. Ursprungskontrollen können für einzelne Pakete und mehrere Pakete eingerichtet werden, indem Ursprungskontrollen für Paketgruppen eingerichtet werden. Weitere Informationen zu Kontrollen zur Herkunft von Paketen und deren Änderung finden Sie unter Die Einstellungen zur Herkunft des Pakets werden bearbeitet undHerkunftskontrollen für Paketgruppen.
