«Fix typo»: как в PHP закоммитили бэкдор и почему composer install — это акт доверия
Каждый composer install — это акт доверия: вы запускаете на CI и в проде код, который собрал и опубликовал кто‑то другой, а проверяете обычно лишь хеш в composer.lock. Но хеш отвечает на вопрос «тот же ли это байт, что вчера», а не «кто и из чего его собрал».
Реальные инциденты показывают цену этого доверия: в 2021-м в исходники PHP закоммитили бэкдор от имени Расмуса Лердорфа; в xz вредонос жил в release‑архиве, которого не было в git; у популярного GitHub Action переписали теги и слили секреты из тысяч пайплайнов. Между кодом на ревью и артефактом в вашем vendor/ — длинная цепочка, и атаковать можно любое звено.
В статье сначала разбор: как устроены эти атаки и почему GPG, хеши и composer audit закрывают цепочку лишь частично. Затем ответ индустрии — Sigstore: подпись без управления ключами. И главное — практика на PHP: подписываем релиз в GitHub Actions без единого секрета, проверяем эталонным gh, из CLI и прямо из кода с типизированным SLSA‑провенансом, мониторим журнал Rekor. С рабочим кодом и честной моделью угроз: что подпись ловит, а что нет.
Разобрать цепочку поставок ПОИсточник: Хабрахабр
Похожие новости
- Product Radar: Экспресс-аудит кибербезопасности, AI-студия для создания мини-сериалов – и ещё 8 российских стартапов
- Мультистейдж-сборка на Docker BuildX: мифы и реальность
- Текст как бензин: Почему в эпоху нейросетей и подкастов старый добрый шрифт всё ещё рулит
- OpenVEX в CI/CD: как перестать бороться с ложными CVE и научить Trivy понимать контекст
- Prompt injection нельзя запатчить: год «летальной триады» и лента CVE 2026 года
- OSINT для ленивых. Заметки на полях. Пароли
- Технический трек R-EVOlution Conference 2026: 11 докладов, которые теперь можно посмотреть в записи
- Книга: «Безопасность контейнеров. Фундаментальный подход к защите контейнеризированных приложений. 2-е изд.»
- Android Kiosk: как купить сухарики, когда ларёк закрыт
- Ааа, всё пропало! AI создаёт дырявый код! Что же делать?