J’ai reçu un rapport du scanner XRay de JFrog indiquant que l’image de base de Discourse version 2.0.20240904-0335 contient du code malveillant dans trois packages :
dialog-holder:1.0.0
float-kit:1.0.0
custom-proxy:1.0.0
J’ai ensuite fait quelques recherches et trouvé les trois packages portant le même nom et la même version signalés sur https://vulert.com.
(Je vais ajouter cela dans le commentaire car je ne peux pas poster plus de 2 liens dans le message)
Avez-vous déjà rencontré les mêmes problèmes ? Ces découvertes proviennent-elles de Discourse ou d’autres packages, car je ne trouve aucun package signalé sur npm.js ?
Nous avons vu quelque chose de similaire avec JFrog. Cela semble être un nom ambigu pour un package non délimité et non un problème réel.
Discourse a bien un package dans son dépôt appelé float-kit mais cela n’a rien à voir avec le float-kit sur npmjs. Les autres sont essentiellement les mêmes.
Idéalement, même ces packages locaux seraient délimités, mais ils sont référencés depuis l’espace de travail, donc le 1.0.0 qu’il récupère provient de son propre dépôt.
Il n’y a aucune poussée de provenance que j’ai vue et JFrog examine simplement les noms et les versions dans de nombreux cas, donc cela devrait entrer dans votre processus de gestion des faux positifs avec le contrôle.
