Selon ENISA (Agence de l’Union européenne pour la cybersécurité), ce document v1.1 publié en mars 2026 fournit un avis technique pour sécuriser la consommation de paquets dans les écosystèmes logiciels (npm, pip, Maven, etc.), en couvrant les risques, les menaces supply chain et des recommandations opérationnelles pour les développeurs.

• Panorama des risques et du contexte

  • Le guide distingue deux grandes familles de risques: vulnérabilités inhérentes aux paquets (mauvaises pratiques de codage, projets abandonnés) et attaques de la supply chain (insertion de paquets malveillants, compromission de paquets légitimes, typosquatting, namespace/dependency confusion).
  • Il illustre l’ampleur potentielle via des exemples concrets (ex.: incident npm touchant des paquets à très fort volume de téléchargements; vulnérabilité critique React CVE-2025-55182) et rappelle l’effet de cascade sur des millions de projets.

• Menaces supply chain mises en avant ⚠️

  • Insertion de paquets malveillants (ex.: crypto-encrypt-ts) y compris via des extensions d’IDE (ex.: extensions Visual Studio Code liées à GlassWorm) pour compromettre des environnements de développement.
  • Compromission de paquets légitimes par prises de contrôle de comptes mainteneurs, vol d’identifiants ou ingénierie sociale (ex.: event-stream/flatmap-stream; ua-parser-js avec scripts pre/post-install malveillants; incidents colors/faker).
  • Typosquatting (ex.: crossenv vs cross-env) pour piéger les installations par erreurs de nommage.
  • Namespace/Dependency confusion exploitant des écarts entre registres internes et publics via des versions supérieures malicieuses.

• Bonnes pratiques recommandées 🧩

  • Sélection: sources de confiance, vérification de provenance (Trusted Publishing), consultation des bases de vulnérabilités (EUVD, OSV, NVD…), réputation des mainteneurs, activité/maintenance, et pratiques de build sûres.
  • Intégration: génération d’SBOM, contrôles en CI/CD (vulnérabilités), verrouillage des versions/lockfiles, enforcement d’intégrité (hash/signatures), restriction aux registres approuvés, désactivation/contrôle des scripts d’installation si nécessaire.
  • Monitoring: scans continus, corrélation via SBOM, suivi des CVE/advisories, alertes sur versions obsolètes, changements de mainteneur, dépôts dépréciés.
  • Mitigation: évaluation d’exploitabilité/réchabilité, priorisation (CVSS, EPSS, KEV, VEX), mise à jour/patch, mesures temporaires (isolation, WAF), documentation (SBOM, VEX) et notifications.

• Perspectives et tendances 🔭

  • Accent sur l’automatisation (CI/CD) et l’usage de formats machine‑readable (ex.: CSAF) pour l’ingestion des avis de sécurité.
  • Vigilance face au vibe‑coding/développement assisté par IA, y compris le risque de slopsquatting (paquets correspondant à des hallucinations d’IA), avec renforcement des contrôles de sélection/intégration et de la détection/response.

• Nature du document

  • Il s’agit d’un avis technique et de recommandations de sécurité visant la consommation sûre de paquets, avec exemples multi‑écosystèmes et fiches « cheat sheet » pour l’opérationnalisation.

🔗 Source originale : https://www.enisa.europa.eu/publications/enisa-technical-advisory-for-secure-use-of-package-managers