La provenienza del registro crittografico difende dalla confusione delle dipendenze

È stato sviluppato un nuovo framework crittografico per contrastare gli attacchi di confusione delle dipendenze negli ecosistemi di pacchetti software. Descritto in arXiv:2605.03309, questo sistema offre la verifica crittografica del registro che ha distribuito un pacchetto, colmando un vuoto critico dove tale verifica era precedentemente assente. Si compone di tre elementi principali: l'uso di coppie di chiavi Ed25519 per l'identità crittografica del registro, un approccio a doppia firma in cui gli editori firmano durante il confezionamento e i registri forniscono controfirme al momento della pubblicazione, e il binding autoritativo dei namespace che consente ai consumatori di fissare le impronte digitali del registro. Queste caratteristiche stabiliscono tre livelli di difesa, che richiedono violazioni simultanee per un attacco riuscito. Il sistema è stato testato in otto ecosistemi: npm, Cargo, Hex.pm, PyPI, moduli Go, Docker/OCI, NuGet e Maven. Le difese attuali si basano sulla configurazione e possono fallire silenziosamente se configurate male.