La supply chain npm en 2026 — lockfiles, sigstore, Socket et les attaques que nous avons vues

npm est la plus grande supply chain logicielle au monde et, de loin, la plus attaquée. Le pattern est constant : le compte d'un mainteneur est compromis (ou vendu), une version malveillante d'un package populaire est publiée, la machinerie d'autoupdate dans des millions de pipelines la télécharge en quelques heures, et quelque part un millier d'équipes le découvrent la même semaine.

Il existe un petit nombre de contrôles qui changent matériellement l'économie pour l'attaquant ici. Nous les livrons tous sur chaque stack Node.js managée.

Vérification lockfile + provenance en CI

# Refuse d'installer si le lockfile est désynchronisé
npm ci --strict-peer-deps
 
# Vérifie la provenance du package (introduit en 2023)
npm audit signatures
 
# Scan tiers — attrape les patterns de package malveillant que audit rate
npx socket@latest scan

npm ci (pas npm install) est le point d'entrée. Il refuse de dévier de package-lock.json et échoue rapidement sur un lockfile manipulé. npm audit signatures vérifie les attestations de provenance soutenues par sigstore de l'auteur du package.

L'article complet couvre :

• Les quatre classes d'attaques que nous avons réellement vues sur des engagements clients
• Discipline de lockfile — y compris la minification transitive de lockfile
• Le flux sigstore + provenance que npm a déployé en 2023 — et comment l'imposer
• Socket.dev et Snyk comme scanners complémentaires
• Pin par version exacte (pas de ^, pas de ~) pour les dépendances à haut risque
• La couche mirror interne / Verdaccio en caching pour builds air-gapped
• Playbook de réponse à incident pour « package populaire compromis ce matin »

Nous livrons ces contrôles sur chaque stack Node.js managée.