Безопасность
Supply-chain безопасность: тест с краткими ответами
Припоминание сильнее перечитывания. Для каждой подсказки проговорите или запишите полный ответ по памяти, прежде чем открыть эталон — именно усилие извлечения закрепляет материал.
Восстановите ключевые механизмы модуля — почему поверхностью атаки является шаг установки, что lockfile и хэши делают и упускают, как работает confusion, и на что отвечают SBOM, provenance и подписание — не подглядывая в урок.
- 01Почему поверхностью атаки является шаг установки, а не код вашего приложения?
- 02От чего защищает lockfile с integrity-хэшами, и от чего — НЕТ?
- 03Разберите атаку dependency confusion и слоистую защиту от неё.
- 04Что такое SBOM и на какой вопрос он отвечает, на который не ответят подпись или provenance?
- 05Объясните SLSA provenance и подписанные артефакты, и почему xz-utils нужен был именно этот слой.
- 06Расположите supply-chain защиты от самой дешёвой/немедленной до самой организационной и обоснуйте порядок.
Если вы смогли восстановить каждый ответ по памяти, вы держите хребет модуля: шаг установки и есть поверхность атаки; lockfile с хэшами и npm ci гарантируют, что вы получили именно те байты, но ничего не говорят о том, как они собраны; dependency confusion — баг порядка разрешения, исправляемый приоритетом, а не везением; SBOM отвечает, что внутри; а SLSA provenance плюс подписание Sigstore отвечают, как это собрано и не подменено ли — слой, нужный xz и упущенный lockfile. Защиты складываются от одной строки конфига до укреплённого пайплайна релиза.