Socket Firewall: bloquear paquetes maliciosos durante la instalación ~ Segu-Info

Socket Firewall es una herramienta gratuita que bloquea paquetes maliciosos
durante la instalación, ofreciendo a los desarrolladores protección proactiva contra el aumento de
ataques a la cadena de suministro…

Antes, los
ataques de alto perfil a NPM
por parte de mantenedores eran eventos poco frecuentes. Pero, en las últimas
semanas, hemos visto paquetes confiables de código abierto atacados por
tinycolor,
chalk, nx y
eslint-config-prettier.

Lo que solía ser un caso atípico ocasional se está volviendo inquietantemente
común, impulsado por tácticas de ingeniería social cada vez más sofisticadas
dirigidas directamente a los mantenedores. El resultado es que las defensas
tradicionales no son suficientes para proteger a los desarrolladores y a las
organizaciones que dependen del código abierto.

Pero los atacantes no solo atacan los entornos de producción. También atacan
directamente las máquinas de los desarrolladores para ejecutar código
malicioso antes de que llegue a producción.

Socket Firewall Free es una herramienta ligera que protege los equipos de los
desarrolladores en tiempo real, bloqueando las dependencias maliciosas antes
de que lleguen a su portátil o sistema de compilación. No requiere clave API
ni configuración.

Simplemente se debe ejecutar: npm i -g sfw y luego anteponer
"sfw" a todos los comandos de instalación de los paquetes.

Por ejemplo, se puede ejecutar: sfw npm install lodahs. ¡Observe el cambio de lugar de los caracteres y que el paquete malicioso no
se instala!

Si ya ha utilizado la herramienta "npm secure", Socket Firewall
le resultará familiar porque ahora se cubre Python y Rust, además de
JavaScript, y la compatibilidad con más ecosistemas se está implementando
rápidamente. 

• Para JavaScript y TypeScript mediante npm, yarn y pnpm.
• Para Python mediante pip y uv
• Para Rust mediante cargo

Ejemplos de uso

sfw npm install --save [email protected]

sfw cargo fetch