{"id":106166,"date":"2022-12-28T11:28:32","date_gmt":"2022-12-28T09:28:32","guid":{"rendered":"https:\/\/jfrog.com\/blog\/yet-another-case-for-using-exclude-patterns-in-remote-repositories\/"},"modified":"2023-06-19T16:03:59","modified_gmt":"2023-06-19T14:03:59","slug":"yet-another-case-for-using-exclude-patterns-in-remote-repositories","status":"publish","type":"post","link":"https:\/\/jfrog.com\/fr\/blog\/yet-another-case-for-using-exclude-patterns-in-remote-repositories\/","title":{"rendered":"Encore un Cas d'Utilisation de Mod\u00e8les d'Exclusion dans les D\u00e9p\u00f4ts Distants\u00a0: Attaque par Substitution d\u2019Espace de Noms (ou \u00ab\u00a0Confusion de D\u00e9pendance\u00a0\u00bb)"},"content":{"rendered":"

\"Exclude<\/p>\n

Mise \u00e0 jour<\/b>\u00a0: 1er\u00a0juin 2021. Vous avez demand\u00e9, nous avons r\u00e9pondu\u00a0! Une protection encore plus simple contre les attaques par confusion de d\u00e9pendance\u00a0!\u00a0Lire la suite — Aller Au-Del\u00e0 des Mod\u00e8les d\u2019Exclusion\u00a0: D\u00e9p\u00f4ts S\u00e9curis\u00e9s Avec R\u00e9solution Prioritaire<\/a>.<\/p>\n

\n

TL;DR<\/h2>\n

Le registre npm est vuln\u00e9rable aux attaques par substitution d'espaces de noms de la cha\u00eene d'approvisionnement, \u00e9galement connu sous le nom d'attaques par \u00ab\u00a0Confusion de D\u00e9pendance\u00a0\u00bb. Assurez-vous de cr\u00e9er des packages npm scop\u00e9s et de forcer les mod\u00e8les d\u2019exclusion.<\/p>\n

Obsession de Longue Date avec les Mod\u00e8les d\u2019Exclusion<\/h2>\n

Je me souviens de la premi\u00e8re formation client sur JFrog que j'ai dispens\u00e9e en f\u00e9vrier\u00a02012. Cette diapositive \u00e9tait celle avec laquelle j'expliquais l'importance de d\u00e9finir des mod\u00e8les d'exclusion sur vos d\u00e9p\u00f4ts (quand on voit la diapositive, on sait qu'on est en 2012, n'est-ce pas\u00a0? Et puis, Ant \u00e9tait une chose.)\u00a0:<\/p>\n

\"Common<\/p>\n

Voici toute l'histoire\u00a0: Votre entreprise, Acme, a install\u00e9 JFrog Artifactory. Il dispose de l'ensemble habituel de d\u00e9p\u00f4ts distants (qui relaient divers d\u00e9p\u00f4ts centraux comme Maven Central), de d\u00e9p\u00f4ts locaux (qui h\u00e9bergent les artefacts internes de votre entreprise) et d'un d\u00e9p\u00f4t virtuel (qui regroupe les d\u00e9p\u00f4ts locaux et distants sous une seule URL), ce qui simplifie la configuration de votre outil de build (en 2012, nous parlerions de Maven, bien s\u00fbr).<\/p>\n

Je leur ai dit, imaginez que vous travaillez sur un projet tr\u00e8s secret appel\u00e9 Secret Almo. Les coordonn\u00e9es de l\u2019artefact sont org.acme:secret-almo:1.0<\/span>, et vous ne voulez pas que vos concurrents le sachent. Mais que se passe-t-il si l\u2019un de vos coll\u00e8gues ajoute accidentellement org.acme:secret-almo:1.1<\/span> en tant que d\u00e9pendance ou toute autre version inexistante de cette biblioth\u00e8que et ex\u00e9cute un build\u00a0? Voici ce qui va se passer\u00a0:<\/p>\n

    \n
  1. La requ\u00eate arrive dans le d\u00e9p\u00f4t virtuel d\u2019Artifactory<\/a>, qui (comme c\u2019est toujours le cas) v\u00e9rifie d\u2019abord les d\u00e9p\u00f4ts locaux<\/a><\/strong>. Si votre coll\u00e8gue n\u2019a pas commis l\u2019erreur et a utilis\u00e9 1.0 comme version, la r\u00e9solution s\u2019arr\u00eaterait l\u00e0 et l\u2019artefact correct serait r\u00e9cup\u00e9r\u00e9. Mais 1.1 est introuvable, alors Artifactory continue de chercher.<\/li>\n
  2. Artifactory examine les d\u00e9p\u00f4ts distants, qui font partie du d\u00e9p\u00f4t virtuel, un par un, en envoyant la requ\u00eate d\u2019URL contenant le nom de votre projet secret aux d\u00e9p\u00f4ts tiers externes\u00a0!<\/li>\n<\/ol>\n

    \u00ab\u00a0Non\u00a0!\u00a0\u00bb ai-je cri\u00e9. \u00ab\u00a0Quelle horrible n\u00e9gligence de la confidentialit\u00e9\u00a0! Que se passe-t-il si quelqu\u2019un voit les requ\u00eates et d\u00e9couvre le Secret Almo\u00a0!?!\u00a0\u00bb Ce qui \u00e9tait un moyen appropri\u00e9 de motiver nos utilisateurs \u00e0 utiliser des mod\u00e8les d\u2019exclusion. \u00c9tait-ce vraiment un si grand danger\u00a0? J'ai des doutes, mais \u00e7a a aid\u00e9.<\/p>\n

    Nous martelons ce message \u00e0 nos clients et utilisateurs depuis 2009\u00a0: Ariel Seftel en 2015 <\/a> – \u00ab\u00a0D\u00e9finissez un mod\u00e8le d\u2019exclusion sur les d\u00e9p\u00f4ts distants pour emp\u00eacher Artifactory d'y rechercher des packages dont vous savez qu\u2019ils ne peuvent pas s'y trouver<\/strong>\u00a0\u00bb, Shani Levy en 2015 \u00e0 nouveau <\/a>, cette fois sp\u00e9cifiquement sur la s\u00e9curit\u00e9\u00a0: \u00ab\u00a0G\u00e9rez la s\u00e9curit\u00e9 et boostez les performances avec des mod\u00e8les d\u2019exclusion<\/strong>\u00a0\u00bb et encore une fois, Rami Honing en 2016<\/a> \u2013 \u00ab\u00a0modifiez… des mod\u00e8les d'exclusion pour appliquer des strat\u00e9gies de s\u00e9curit\u00e9.<\/strong>\u201d<\/p>\n

    Le plus ancien guide utilisateur encore existant est Artifactory 2, \u00e9crit par les co-fondateurs Yoav Landman et Fred Simon en 2009, et devinez quoi\u00a0? C\u2019est tr\u00e8s clair<\/a>\u00a0:<\/p>\n

    Il est extr\u00eamement<\/strong> important d\u2019utiliser des mod\u00e8les d'inclusion et d'exclusion pour les d\u00e9p\u00f4ts. Ceci est particuli\u00e8rement important pour les d\u00e9p\u00f4ts distants aux fins suivantes\u00a0:<\/em><\/p>\n

      \n
    1. \u00c9viter de rechercher des artefacts distants sur des d\u00e9p\u00f4ts qui ne contiendront jamais ces artefacts ou qui ne contiennent qu'une gamme limit\u00e9e d'identifiants de groupe.<\/em><\/li>\n
    2. Ne pas divulguer des informations commerciales sensibles qui peuvent \u00eatre d\u00e9riv\u00e9es de vos requ\u00eates d'artefacts \u00e0 quiconque peut intercepter ces derni\u00e8res, y compris les propri\u00e9taires du d\u00e9p\u00f4t distant lui-m\u00eame.<\/em><\/strong><\/li>\n<\/ol>\n<\/blockquote>\n

      De toute \u00e9vidence, la documentation actuelle<\/a> insiste \u00e9galement l\u00e0-dessus\u00a0:<\/p>\n

      Meilleures pratiques utilisant un mod\u00e8le d\u2019exclusion pour les d\u00e9p\u00f4ts distants, pour \u00e9viter les risques de s\u00e9curit\u00e9<\/strong><\/p>\n

      Pour \u00e9viter d\u2019exposer des informations commerciales sensibles comme d\u00e9crit ci-dessus, nous vous recommandons vivement les meilleures pratiques suivantes\u00a0:<\/p>\n