SUPPLY CHAIN
Supply Chain Attacks ArticlesArticles Attaques Supply Chain
Typosquatting, package hijacking, compromised maintainers: every major supply chain incident and how to defend.
Typosquatting, détournement de packages, mainteneurs compromis : chaque incident majeur et comment se défendre.
Results for Résultats pour
No articles matched your search
Aucun article ne correspond à votre recherche
Dependabot vs Renovate in 2026: Comparison, Supply Chain Risks & The CVE Gap No Bot Covers
Dependabot vs Renovate en 2026 : Comparaison Complète, Risques Supply Chain & L’angle mort CVE qu’aucun bot ne couvre
111 Dependabot PRs and 30 Renovate PRs helped spread the Axios malware in under 1 hour. 60% were auto-merged with zero human review. Full feature comparison, safe auto-merge config, and the CVE monitoring gap that no update bot covers.
111 PR Dependabot et 30 PR Renovate ont contribué à propager le malware Axios en moins d’1 heure. 60% ont été auto-mergées sans revue humaine. Comparaison complète des fonctionnalités, config auto-merge sûre, et l’angle mort CVE qu’aucun bot de mise à jour ne couvre.
Supply Chain Supply ChainGitHub Actions Supply Chain Security in 2026: Trivy Hijacked, prt-scan & How to Protect Your Pipelines
Sécurité Supply Chain GitHub Actions en 2026 : Trivy Hijacké, prt-scan & Comment Protéger vos Pipelines
TeamPCP force-pushed 82 Trivy Action tags overnight, exposing 10,000+ CI/CD pipelines. CVE-2025-30066 hit 23,000+ repos. Only 7% of projects pin their Actions to SHA. Complete hardening guide.
TeamPCP a force-pushé 82 tags Trivy Action en une nuit, exposant plus de 10 000 pipelines CI/CD. CVE-2025-30066 a touché 23 000+ dépôts. Seulement 7% des projets pinnent leurs Actions sur un SHA. Guide complet.
Laravel LaravelLaravel Security Vulnerabilities in 2026: Livewire RCE, Composer Injection & CISA KEV
Vulnérabilités Laravel en 2026 : RCE Livewire, Injection Composer & CISA KEV
CVE-2025-54068 (CVSS 9.2) gives attackers unauthenticated RCE on Livewire apps. Added to CISA KEV in March 2026. Plus Composer command injection and a CVSS 10.0 SSTI. Complete guide.
CVE-2025-54068 (CVSS 9.2) donne aux attaquants un RCE non authentifié sur les apps Livewire. Ajoutée au CISA KEV en mars 2026. Plus injection de commande Composer et une SSTI CVSS 10.0. Guide complet.
Python PythonSetuptools & pip Security Vulnerabilities in 2026: Directory Traversal, RCE & Bundled Risks
Vulnérabilités Setuptools & pip en 2026 : Directory Traversal, RCE & risques bundlés
CVE-2025-47273 (CVSS 7.7) and CVE-2024-6345 (CVSS 8.8) in setuptools. Python 3.12 bundles both vulnerabilities. Why pip install executes arbitrary code by design, and how to protect your projects.
CVE-2025-47273 (CVSS 7.7) et CVE-2024-6345 (CVSS 8.8) dans setuptools. Python 3.12 bundle les deux vulnérabilités. Pourquoi pip install exécute du code arbitraire par conception, et comment protéger vos projets.
Python PythonPyPI Supply Chain Attacks 2026: Inside the TeamPCP Campaign
Attaques Supply Chain PyPI 2026 : La campagne TeamPCP
TeamPCP hijacked Trivy, Checkmarx, and LiteLLM on PyPI in March 2026 — 95M downloads/month, credentials stolen in 40 minutes. Full timeline and defenses.
TeamPCP a piraté Trivy, Checkmarx et LiteLLM sur PyPI en mars 2026 — 95M de téléchargements/mois, identifiants volés en 40 minutes. Chronologie complète et défenses.
npm npmnpm Typosquatting & AI Tools in 2026: SANDWORM_MODE and Slopsquatting
Typosquatting npm & Outils IA en 2026 : SANDWORM_MODE et Slopsquatting
19 packages targeting Claude Code, Cursor & Windsurf. Plus: slopsquatting — when your AI assistant hallucinates a malicious package name. Real incidents, real defenses.
19 packages ciblant Claude Code, Cursor & Windsurf. Et le slopsquatting — quand votre assistant IA hallucine un nom de package malveillant. Incidents réels, défenses concrètes.
npm npmnpm Supply Chain Attacks in 2026: How to Protect Your Projects
Attaques Supply Chain npm en 2026 : Comment Protéger Vos Projets
Axios, Shai-Hulud, The Great NPM Heist — 454,648 malicious packages in 2025 alone. Real incidents, attack patterns, and concrete defenses for Node.js developers.
Axios, Shai-Hulud, le Grand Vol npm — 454 648 packages malveillants en 2025. Incidents réels, vecteurs d'attaque et défenses concrètes pour les développeurs Node.js.
Monitor your dependencies automatically
Surveillez vos dépendances automatiquement
Upload your lockfiles and get instant CVE alerts. No code access required.
Uploadez vos lockfiles et recevez des alertes CVE instantanées. Aucun accès au code requis.
Start your 14-day free trial Demarrer l'essai gratuit 14 jours