A necessidade de períodos de espera para dependências em um mundo pós-Axios

Comprometimentos recentes na cadeia de suprimentos npm, incluindo Axios (com mais de 57 milhões de downloads semanais e 84.000 dependentes), s1ngularity e ambas as ondas Shai-Hulud, transformaram os ranges de semantic versioning (^ e ~) em canais silenciosos de entrega de ataques, com versões maliciosas se propagando globalmente em minutos após a publicação. Períodos de espera para dependências (dependency cooldowns) impõem um atraso antes que novas versões lançadas se tornem instaláveis. Um mínimo de 12 horas teria bloqueado os ataques Axios e s1ngularity completamente, já que ambos foram detectados em 3 a 4 horas, embora uma semana seja o período recomendado. Defensores devem configurar min-release-age no npm 11.10.0+, minimumReleaseAge no pnpm, npmMinimalAgeGate no Yarn, ou as configurações de cooldown do Dependabot (que se estendem a GitHub Actions e Python), combinando os cooldowns com scanners de pacotes como GuardDog e bloqueadores em tempo de instalação como Supply-Chain Firewall, pois atacantes pacientes adaptarão suas táticas atrasando a execução do payload para além dessa janela.