SUPPLY CHAIN
Supply Chain Attacks ArticlesArticles Attaques Supply Chain
Typosquatting, package hijacking, compromised maintainers: every major supply chain incident and how to defend.
Typosquatting, détournement de packages, mainteneurs compromis : chaque incident majeur et comment se défendre.
Results for Résultats pour
No articles matched your search
Aucun article ne correspond à votre recherche
OWASP Dependency-Check vs Trivy vs Grype vs Snyk in 2026: Which Scanner Should You Use?
OWASP Dependency-Check vs Trivy vs Grype vs Snyk en 2026 : Quel Scanner Choisir ?
Practical 2026 comparison of the 4 most-used dependency scanners. Trivy 32K+ stars & 14s scans, Grype 96.2% CVE recall with EPSS scoring, OWASP DC false positive pitfalls via CPE/NVD, Snyk $126K/yr for 100 devs. Decision framework for DevSecOps teams.
Comparaison pratique 2026 des 4 scanners de dépendances les plus utilisés. Trivy 32K+ stars & scans 14s, Grype 96,2% recall CVE avec scoring EPSS, faux positifs OWASP DC via CPE/NVD, Snyk 126K$/an pour 100 devs. Arbre de décision pour équipes DevSecOps.
Guides GuidesGitHub Copilot & AI Code Assistants Security in 2026: RoguePilot, Slopsquatting & Prompt Injection Guide
Sécurité GitHub Copilot & Assistants IA en 2026 : RoguePilot, Slopsquatting & Guide Injection de Prompt
RoguePilot (Feb 2026) exfiltrates GITHUB_TOKEN via passive prompt injection through a crafted GitHub Issue — full repo takeover. Copilot Chat CVSS 9.6 leaked private source code. 19.7% of AI-suggested packages don’t exist (slopsquatting). 45% of AI-generated code fails OWASP Top 10. Complete hardening guide: token scoping, package verification, SAST gates & AI config file auditing.
RoguePilot (fév. 2026) exfiltre le GITHUB_TOKEN via une injection de prompt passive dans une Issue GitHub crafted — prise de contrôle complète du dépôt. Copilot Chat CVSS 9.6 a divulgué du code source privé. 19,7% des packages suggérés par l'IA n'existent pas (slopsquatting). 45% du code IA échoue à l'OWASP Top 10. Guide complet : portée tokens, vérification packages, portes SAST & audit fichiers config IA.
npm npmnpm package.json Security Best Practices in 2026: Lifecycle Scripts, Lockfile Integrity & Provenance Guide
Meilleures Pratiques de Sécurité package.json npm en 2026 : Scripts Lifecycle, Intégrité Lockfile & Guide Provenance
454,648 malicious npm packages in 2025. postinstall hooks compromised Axios (100M dl/week), Bitwarden CLI & TanStack in 2026. Complete guide: scripts hardening, lockfile integrity, overrides for transitive CVEs, private registry .npmrc config & provenance attestation — only 12% of top packages ship with it.
454 648 packages npm malveillants en 2025. Les hooks postinstall ont compromis Axios (100M dl/sem), Bitwarden CLI & TanStack en 2026. Guide complet : durcissement des scripts, intégrité lockfile, overrides pour CVE transitives, config .npmrc registre privé & attestations de provenance — seulement 12% des top packages les embarquent.
Guides GuidesGitHub Dependabot Security Alerts in 2026: AI Fixes, Malware Detection & How to Stop Alert Fatigue
Alertes Sécurité Dependabot en 2026 : Correctifs IA, Détection Malware & Comment Arrêter la Fatigue des Alertes
Dependabot gained malware detection for npm (March 2026) and AI agent fix assignment — Copilot, Claude & Codex (April 2026). Yet 85% of security PRs go unmerged. Complete 2026 guide: auto-triage rules with EPSS, GHSA vs CVE gap (213K unreviewed advisories), dependabot.yml best practices & what Dependabot still misses.
Dependabot a ajouté la détection de malware npm (mars 2026) et l'assignation d'agents IA — Copilot, Claude & Codex (avril 2026). Pourtant 85% des PRs sécurité ne sont pas fus iquées. Guide complet 2026 : règles d'auto-triage avec EPSS, fossé GHSA vs CVE (213K advisories non examinés), meilleures pratiques dependabot.yml & ce que Dependabot manque encore.
Supply Chain Supply ChainMalicious VS Code Extensions in 2026: GlassWorm, MaliciousCorgi & Developer Supply Chain Security Guide
Extensions VS Code Malveillantes en 2026 : GlassWorm, MaliciousCorgi & Guide Sécurité Supply Chain
GlassWorm planted 73 malicious extensions on OpenVSX (April 27, 2026) — the 4th wave since October 2025. MaliciousCorgi silently exfiltrated source code from 1.5M developer machines via AI-branded extensions. CVE-2025-65717 (CVSS 9.1) in Live Server (72M installs) remains unpatched. Complete audit checklist, CVE breakdown & enterprise hardening guide.
GlassWorm a planté 73 extensions malveillantes sur OpenVSX (27 avril 2026) — la 4e vague depuis octobre 2025. MaliciousCorgi a silencieusement exfiltré du code source depuis 1,5M de machines de développeurs via des extensions IA. CVE-2025-65717 (CVSS 9.1) dans Live Server (72M installations) reste non corrigée. Check-list d’audit complète, analyse CVE & guide de durcissement entreprise.
Guides GuidesGitHub Actions OIDC Token Security in 2026: Token Theft, pull_request_target Attacks & Hardening Guide
Sécurité Tokens OIDC GitHub Actions en 2026 : Vol de Tokens, Attaques pull_request_target & Guide de Durcissement
OIDC tokens stolen via chained GitHub Actions exploits enabled 84 malicious TanStack packages published in 6 minutes (CVE-2026-45321, CVSS 9.6). 23,000+ repos compromised via tj-actions. GitHub’s 2026 Security Roadmap explained: dependency locking, L7 egress firewall, scoped secrets & immutable subject claims. Complete workflow hardening checklist.
Des tokens OIDC volés via des exploits GitHub Actions chaînés ont permis la publication de 84 packages TanStack malveillants en 6 minutes (CVE-2026-45321, CVSS 9.6). 23 000+ dépôts compromis via tj-actions. Roadmap Sécurité GitHub 2026 expliquée : verrouillage de dépendances, pare-feu L7, secrets limités & claims subject immuables. Check-list complète de durcissement.
npm npmTanStack npm Supply Chain Attack in 2026: CVE-2026-45321 (CVSS 9.6), Mini Shai-Hulud Worm & CI/CD Hardening Guide
Attaque Supply Chain npm TanStack en 2026 : CVE-2026-45321 (CVSS 9.6), Ver Mini Shai-Hulud & Comment Protéger Votre CI/CD
CVE-2026-45321 (CVSS 9.6): 84 malicious @tanstack/* versions published in 6 minutes on May 11, 2026 via GitHub Actions OIDC token theft — the first npm worm to bypass SLSA Build Level 3 provenance. 518M+ cumulative downloads affected across 170+ npm & PyPI packages. Pull_request_target attack chain explained & full CI/CD hardening checklist.
CVE-2026-45321 (CVSS 9.6) : 84 versions malveillantes @tanstack/* publiées en 6 minutes le 11 mai 2026 via vol de token OIDC GitHub Actions — premier ver npm à contourner la provenance SLSA Build Level 3. 518M+ téléchargements cumulés affectés sur 170+ packages npm & PyPI. Chaîne d’attaque pull_request_target expliquée & guide de durcissement CI/CD complet.
Python Pythonpip-audit & Poetry Security in 2026: CVE-2026-34591, pylock.toml & PyPI Trusted Publishers
Sécurité pip-audit & Poetry en 2026 : CVE-2026-34591, pylock.toml & PyPI Trusted Publishers
CVE-2026-34591 (CVSS 7.1) lets crafted wheels overwrite arbitrary files via Poetry’s wheel installer (Poetry 1.4.0–2.3.2). pip-audit 2.9.0 adds PEP 751 pylock.toml support. 132K+ PyPI packages now have provenance attestations. Full CI/CD integration guide.
CVE-2026-34591 (CVSS 7.1) permet à des wheels craftées d’écraser des fichiers arbitraires via l’installeur Poetry (1.4.0–2.3.2). pip-audit 2.9.0 ajoute le support PEP 751 pylock.toml. Plus de 132K packages PyPI ont des attestations de provenance. Guide CI/CD complet.
npm npmVite.js Security Vulnerabilities in 2026: CVE-2025-30208, CISA KEV & The Recurring WebSocket File Read Problem
Vulnérabilités Vite.js en 2026 : CVE-2025-30208, CISA KEV & Le Problème Récurrent de Lecture de Fichiers via WebSocket
4 file-read CVEs in Vite’s dev server in 18 months. CVE-2025-31125 added to CISA KEV January 2026 — active exploitation confirmed. CVE-2026-39363 CVSS 8.2 bypasses all HTTP access controls via WebSocket. Full developer guide with verified data.
4 CVE de lecture de fichiers dans le serveur de développement Vite en 18 mois. CVE-2025-31125 ajoutée au CISA KEV en janvier 2026 — exploitation active confirmée. CVE-2026-39363 CVSS 8.2 contourne tous les contrôles d’accès HTTP via WebSocket. Guide complet avec données vérifiées.
npm npmnpm Semver Vulnerabilities & Range Exploits in 2026: ^1.0.0 Risks, CVE-2022-25883 & Defense Guide
Vulnérabilités Semver npm en 2026 : Risques ^1.0.0, CVE-2022-25883 & Guide de Défense
The semver package gets 643M downloads/week — CVE-2022-25883 cascaded to thousands of packages. Caret ranges let attackers slip malicious minor versions past your lockfile. Full 2026 guide with real incidents and verified data.
Le package semver reçoit 643M téléchargements/semaine — CVE-2022-25883 a cascadé vers des milliers de packages. Les ranges caret permettent aux attaquants de glisser des versions mineures malveillantes dans votre lockfile. Guide complet 2026.
npm npmnpm Self-Propagating Worms in 2026: CanisterWorm, Bitwarden CLI & How TeamPCP Turns Developers into Malware Vectors
Vers Auto-Propagants npm en 2026 : CanisterWorm, Bitwarden CLI & Comment TeamPCP Transforme les Développeurs en Vecteurs de Malware
April 22, 2026: CanisterWorm backdoored Namastex npm packages while @bitwarden/cli@2026.4.0 was live on npm for 93 minutes. Both attacks by TeamPCP. How self-propagating worms steal tokens, infect dozens of packages in minutes, and how to protect your stack.
Le 22 avril 2026 : CanisterWorm backdooré les packages npm de Namastex pendant que @bitwarden/cli@2026.4.0 était en ligne 93 minutes. Les deux attaques par TeamPCP. Comment les vers auto-propagants voléent les tokens et infectent des dizaines de packages en minutes.
Kubernetes KubernetesKubernetes Security Vulnerabilities in 2026: IngressNightmare, runc Escapes & RBAC Hardening Guide
Vulnérabilités Sécurité Kubernetes en 2026 : IngressNightmare, Évasions runc & Guide de Durcissement RBAC
CVE-2025-1974 (CVSS 9.8) gives unauthenticated RCE on 43% of cloud clusters — 6,500+ exposed. runc CVEs allow container escape on Docker & K8s nodes. RBAC misconfigs in 45% of environments. Full hardening guide with verified data.
CVE-2025-1974 (CVSS 9.8) donne un RCE non authentifié sur 43% des clusters cloud — 6 500+ exposés. Les CVE runc permettent l’évasion de containers sur Docker & K8s. Mauvaises configs RBAC dans 45% des environnements. Guide de durcissement complet.
Monitor your dependencies automatically
Surveillez vos dépendances automatiquement
Upload your lockfiles and get instant CVE alerts. No code access required.
Uploadez vos lockfiles et recevez des alertes CVE instantanées. Aucun accès au code requis.
Start your 14-day free trial Demarrer l'essai gratuit 14 jours