Ugrás a fő tartalomhoz

🧪 Miért veszélyes, ha fejlesztők ismeretlen csomagokat használnak?

A modern fejlesztés gyors.
De néha túl gyors.

Egy npm install, pip install, vagy composer require parancs, és máris bejön több száz csomag a rendszerbe.

A kérdés csak az: Tényleg tudod, mit telepítesz?

🎯 Mi a probléma?

Sokan gondolják, hogy ha valami fent van a GitHubon vagy a csomagtáron, akkor az biztonságos.
De valójában:

  • bárki tölthet fel csomagot (pl. npm-re, PyPI-re)
  • rengeteg csomag teljes hozzáférést kap a rendszeredhez
  • már több ezer ellopott adatot vagy hátsó ajtót rejtő csomag volt forgalomban

🧨 Példák a való világból

🐍 PyPI: „ctx” és „jeIlyfish” (hamis csomagok)

A nevük majdnem megegyezett népszerű csomagokkal (ctx vs. cxt), de kártevőt tartalmaztak, ami jelszavakat lopott.

📦 npm: „event-stream” incidens

Egy népszerű csomag karbantartója átadta a jogokat, az új tulajdonos pedig hátsó ajtót épített bele, amivel konkrét Bitcoin tárcákat támadott.

🕵️ Supply Chain Attack: SolarWinds

Ez már nem csak csomag, hanem egész fejlesztői infrastruktúra kompromittálása volt – és több ezer cég fertőződött meg.

🧠 Mitől veszélyes ez?

  • A fejlesztő futtatja: nem sandboxban, hanem valós gépen
  • Teljes hozzáférést ad: olvasás, írás, hálózat
  • Nem látszik azonnal: lehet, hogy csak logokat küld külső szerverre

Egyetlen sor kód egy setup.py fájlban, és máris elveszett az irányítás.

🛡️ Hogyan védekezz?

✅ 1. Használj megbízható, karbantartott csomagokat

  • Nézd meg az utolsó frissítést, maintainer nevét
  • Olvasd el az issues / pull requesteket
  • Kerüld az 1-felhasználós, 0-dokumentációs csomagokat

✅ 2. Fagyaszd be a verziókat

Használj requirements.txt, package-lock.json, poetry.lock stb., hogy ne jöjjön be automatikusan új (potenciálisan veszélyes) verzió.

✅ 3. Scanneld a függőségeidet

Használj eszközöket mint:

  • npm audit
  • pip-audit
  • GitHub Dependabot / Snyk / osv.dev

✅ 4. Alakíts ki supply chain kontrollt

  • Külön CI gépek tesztelésre
  • Kódreview harmadik féltől származó csomagokra
  • Proxy / tükör-tárolók (pl. verdaccio, Artifactory)

🧩 Összefoglalva

  • A nyílt forráskód nem automatikusan biztonságos
  • A fejlesztői gép és CI pipeline a támadók egyik legújabb célpontja
  • A meggondolatlan npm install több kárt okozhat, mint egy feltört jelszó

Nem attól vagy biztonságban, hogy nem történt még baj –
hanem attól, hogy előre gondolkodsz.

➡️ Következő ajánlott cikk: „Nem vagyunk célpont.” – A leggyakoribb tévhit