概念
通过篡改软件供应链组件进行的网络安全攻击。
已跟踪 2 条高相关材料
最近变化
2026-05-20 · pip 26.1的依赖冷却功能可设置易受攻击依赖项的更新冷却期,防止恶意更新在修复后立即被重新利用。
为什么值得关注
Supply Chain Attack 被反复提及时,通常意味着它正在影响产品路线、开发者工作流或 AI 产业判断。这个页面把分散材料合并成一个可持续更新的观察入口。
Pip 26.1 Ships Dependency Cooldowns and Experimental Lockfile Support to Combat Supply Chain Attacks
InfoQ · 8.5 分
Python包管理工具pip 26.1版本引入了依赖冷却机制和实验性lockfile支持,旨在通过限制易受攻击依赖项的频繁更新和锁定依赖版本来对抗供应链攻击。
A single PR just hijacked the NPM registry...
Fireship · 8.5 分
NPM注册表被单个PR攻击,利用CI流程漏洞导致100+包被污染,影响超500万次/周下载。
已收录 2 条与 Supply Chain Attack 相关的内容,按评分排序。
Python package manager pip 26.1 introduces dependency cooldowns and experimental lockfile support to mitigate supply chain attacks by restricting frequent updates of vulnerable dependencies and pinning versions.
入选理由:pip 26.1的依赖冷却功能可设置易受攻击依赖项的更新冷却期,防止恶意更新在修复后立即被重新利用。
A single PR attacked the NPM registry, compromising over 100 packages with more than 5 million weekly downloads.
入选理由:100+包被污染,每周下载量超500万
