Comment Stateward vous protège contre typosquatting & paquets « slopsquattés »
La menace
Les attaquants publient des paquets à une frappe d’un nom populaire, et les assistants IA importent avec assurance des dépendances qui n’existent pas — le « slopsquatting » — que les attaquants enregistrent puis arment.
Comment Stateward le détecte
Le moteur supply-chain de Stateward signale les noms à distance de typo d’un paquet populaire et les sources hors-registre (git+, file:, http:) sur les lignes ajoutées du manifeste — le signal supply-chain spécifique à l’IA que les acteurs établis manquent.
Alertes récentes de cette classe
- mediumGHSA-Q59X-JC9F-GFQFSignal K Server: Server-Side Request Forgery via Remote Connection Endpoints
- mediumGHSA-5739-39V2-5754PHP JWT Library: RSA1_5 (RSAES-PKCS1-v1_5) decryption lacks implicit rejection, exposing a Bleichenbacher/Marvin padding oracle
- highGHSA-JC38-X7X8-2XC8PHP JWT Framework: JWSVerifier uses algorithm from unprotected header, enabling algorithm confusion attacks
- highGHSA-3PRJ-6HQW-CM82PHP JWT Library: PBES2-HS*+A*KW unwrap accepts an unbounded p2c iteration count, enabling CPU-amplification denial of service
Vérifiez votre dépôt
Connectez un dépôt et Stateward analyse votre prochaine pull request — en lecture seule, gratuit pour les particuliers et l’open source.
Conçu pour mériter votre confiance
Lecture seule & éphémère
Stateward commente, sans jamais pousser, fusionner ou stocker vos clés.
Hébergement souverain UE
Code et données restent hébergés en UE via Citadea — pensé pour NIS2, DORA et le CRA.
Conscient de tout le code
Raisonne sur le graphe d’appels et les frontières de confiance, pas seulement le diff.
Stateward est en bêta et recrute des partenaires de conception. Conçu par Yggdrasil Digital.