Son Maven Central y JCentro vulnerable para Typosquatting? Se puede obtener la dependencia malicioso por falta de ortografía ID de artefacto? ¿Qué se puede hacer para metigate los riesgos?
Si el uso de centro / JCentro directamente (como usted ha mencionado en sus comentarios) recomendaría que nunca para construir el interior de una causa infraestructura de la empresa que abriría un vector de ataque (en teoría). En estos casos siempre se basará en una infraestructura abierta como Travis, circleci etc.
Si alguien falta es colocar un artefacto malicioso en Centroamérica (no puedo hablar por JCentro; Si bien recuerdo más o menos lo mismo) basado en el escenario que usted ha descrito esto requeriría un acceso para una sola (malo) persona tenga el acceso a un grupo conocido que contiene artefactos que son bien conocidas y más importante ser utilizado en una amplia zona. Esto significa que esta mala persona necesita para tener el permiso para publicar un artefacto a través de las diferentes áreas, incluyendo la firma del artefacto.
Ok vamos a suponer que alguien ha superado las barreras anteriores descritos.
Por lo que el artefacto debe ser llamado muy similar a otros artefactos. Y ahora alguien tiene que hacer un error tipográfico en particular que este artefacto particular, será recogido. La segunda de las necesidades que se ejecuten alguna manera (tal vez las pruebas de unidad / pruebas de interacción con otros podrían ser posibles).
Así que al final yo diría: En teoría sí prácticamente muy poco probable.
Pero, por supuesto, la seguridad 100% no es posible por lo consejos generales:
- Transferencia siempre a través de https (TLSv1.2 al menos)
- Compruebe las sumas de comprobación de los artefactos (fallar su construcción si las sumas de comprobación no se ajustan )
- Use proceso de revisión durante el desarrollo
Así que sólo puedo recomendar a utilizar un administrador de repositorio dentro de una empresa y de utilizar supuesto un escáner de seguridad que comprueba las vulnerabilidades conocidas etc.
Además, todos los administradores de repositorios tienen la opción de bloquear las dependencias antes de usar y hacen una especie de proceso de aprobación sea posible dentro de su empresa con el inconveniente de tomar tiempo aquí, que "podría" comprar más seguridad.