.png)
A lista de verificação prática para a defesa contra ataques à Supply chain
Uma lista de verificação prática para equipas de engenharia que enfrentam a atual geração de ataques à Supply chain. As recomendações seguem o percurso que um pacote comprometido percorre até chegar à produção, desde o registo, passando pelo seu pipeline, até às máquinas em que a sua equipa trabalha. Aborda os hábitos específicos que impedem que um pacote comprometido se transforme num incidente.

Principais Descobertas
Aplicar uma política relativa à idade dos pacotes antes de qualquer instalação
A instalação de pacotes executa scripts controlados pelo editor com as permissões do programador antes de qualquer linha de código ser importada. Uma política de idade mínima de 48 horas bloqueia o malware de propagação rápida antes de este chegar aos seus programadores.
Associar as dependências do pipeline aos SHA dos commits
As etiquetas e os nomes dos ramos são mutáveis. Um atacante que comprometa uma ação pode alterar a etiqueta sem alterar o seu ficheiro de fluxo de trabalho. Em vez disso, associe cada ação e dependência do pipeline a um SHA de commit imutável.
Implementar a autenticação multifatorial (MFA) resistente ao phishing
O FIDO2 e as chaves de acesso são o padrão a que se deve aspirar. Os códigos TOTP e SMS podem ser capturados numa página de início de sessão falsa e reproduzidos no site verdadeiro em tempo real, sendo as contas dos administradores um alvo principal.
Tratar os servidores MCP como dependências de terceiros
Os servidores MCP apresentam os mesmos riscos da cadeia de abastecimento que qualquer outra dependência e, muitas vezes, funcionam com mais privilégios de acesso. Instale servidores MCP apenas a partir de fontes verificadas, fixe-os através do hash de integridade ou do SHA do commit e verifique se o servidor possui um repositório atualizado e um editor conhecido antes de proceder à instalação.
Resumo
Os atacantes passaram de atacar aplicações em produção para atacar os sistemas que as desenvolvem, mas os defensores continuam a controlar o que entra nesses sistemas. Controlas o teu ficheiro de bloqueio, a configuração do teu pipeline, os âmbitos dos teus tokens e as ferramentas nas máquinas dos teus programadores. As equipas de engenharia que se destacam são aquelas que utilizam esse controlo antes que alguém descubra os pontos de entrada vulneráveis. Esta lista de verificação contém medidas de defesa práticas que abrangem dependências, pipelines, contentores, ambientes de desenvolvimento e as ferramentas de agente nas quais a tua equipa está a começar a confiar.
O que você aprenderá
Uma lista de verificação prática para equipas de engenharia que enfrentam a atual geração de ataques à Supply chain. As recomendações seguem o percurso que um pacote comprometido percorre até chegar à produção, desde o registo, passando pelo seu pipeline, até às máquinas em que a sua equipa trabalha. Aborda os hábitos específicos que impedem que um pacote comprometido se transforme num incidente.
