Novo em segurança de dependências? Consulte Conceitos de segurança para definições de CVE, SBOM, exposição, Corrigir com Agente, Republicar e Auto-Protect.
npm install ou pip install, a solicitação passa primeiro pelo Package Firewall. Pacotes limpos são instalados normalmente e você não perceberá nada. Pacotes que o Socket identificou como maliciosos ou comprometidos são bloqueados antes que qualquer código chegue ao seu ambiente.
O Package Firewall está ativado por padrão para todos os desenvolvedores, sem nada para configurar e sem nada para migrar. Ele protege apps novos e existentes igualmente, e não há configuração a definir.
Por que a proteção no momento da instalação é importante
A maioria das ferramentas de cadeia de fornecimento só verifica dependências no momento da publicação, muito depois que um pacote já foi instalado. Para vulnerabilidades comuns, isso pode ser suficiente. Malware é diferente: ele causa danos no instante em que é instalado — roubando segredos, abrindo backdoors ou exfiltrando suas variáveis de ambiente. Quando uma verificação em tempo de publicação o detecta, o ataque já ocorreu. O Package Firewall fecha essa janela. Ao bloquear pacotes maliciosos antes de serem baixados, ele interrompe o ataque antes que uma única linha de código malicioso seja executada.Como funciona
- Você ou o Agente executam um comando de instalação, como
npm install <pacote>oupip install <pacote>. - A solicitação passa pelo Package Firewall, que verifica o pacote na inteligência de ameaças do Socket.
- Se o pacote estiver limpo, a instalação ocorre normalmente sem nenhuma diferença perceptível.
- Se o pacote for malicioso ou comprometido, a instalação é bloqueada antes que qualquer código chegue ao seu ambiente.
Gerenciadores de pacotes suportados
O Package Firewall protege instalações em:- JavaScript — npm, yarn e pnpm
- Python — pip
- Go — módulos Go
O que o Package Firewall detecta
O Package Firewall bloqueia tanto malware puro quanto versões comprometidas ou com vulnerabilidades conhecidas de pacotes legítimos — incluindo os amplamente utilizados. Muitas dessas vulnerabilidades foram divulgadas após o corte de treinamento dos modelos que as recomendam, então um modelo pode sugerir com confiança uma versão de dependência que era considerada segura em seus dados de treinamento, mas que desde então foi sinalizada. Esses riscos têm nomes no campo:- Typosquats — um pacote malicioso com um nome a um toque de distância de um real, como
reqeustsem vez derequests. Você pede o pacote errado e baixa malware. - Slopsquats — um modelo alucina um nome de pacote que não existe, um invasor registra exatamente esse nome e aguarda que o próximo agente o instale.
- Recomendações desatualizadas — um pacote real com uma vulnerabilidade divulgada que o modelo recomenda porque era considerado seguro antes do seu corte de treinamento.
Como o Package Firewall se encaixa nas outras ferramentas de segurança do Replit
O Package Firewall é uma das três camadas complementares. Cada uma protege um ponto diferente no ciclo de vida do seu app, então use-as juntas em vez de escolher entre elas.| Camada | Quando é executada | O que faz |
|---|---|---|
| Package Firewall | No momento da instalação | Bloqueia pacotes maliciosos e comprometidos antes de serem baixados (prevenção). |
| Verificações automáticas de dependências | Após a instalação, continuamente | Detecta CVEs recém-divulgados nas suas dependências instaladas, com patches opcionais preparados pelo Agente. Consulte o Centro de Segurança de Projetos. |
| Security Agent | Antes de publicar | Audita toda a sua base de código em busca de vulnerabilidades de código, dependências e privacidade. Consulte Verificações de segurança com o Agente. |
Próximos passos
- Revise as descobertas de um único projeto no Centro de Segurança de Projetos.
- Audite dependências em todos os projetos no Centro de Segurança de Workspace.
- Leia How Replit Secures AI-Generated Code para saber mais sobre a abordagem de segurança do Replit.