Thinkst lança Package Proxy para proteção de cadeia de suprimentos sem software cliente

A cadeia de suprimentos de software virou campo minado e a Thinkst respondeu com o Package Proxy, um serviço que intercepta requisições de metadados direto na rede. Você não precisa instalar agentes na máquina nem reescrever pipelines de CI. Basta apontar o índice do gerenciador de pacotes para a URL do proxy. A ferramenta roda em Cloudflare Workers, usa banco D1 para logar cada instalação e entrega consultas SQL prontas para auditoria.

O modelo aplica filtros automáticos antes de liberar o artefato. O pacote exige no mínimo dez dias de publicação, o que dá tempo para a comunidade derrubar backdoors recentes. O sistema também valida o método de upload e bloqueia regressões de integridade. Se um mantenedor for comprometido e subir código por fora da esteira, o proxy devolve 404. Listas de bloqueio e permissão cobrem PyPI, npm e cargo, enquanto o bypass libera correções críticas sem travar o deploy.

A governança de dependências sai do caos e ganha um ponto de controle único. O proxy aplica a mesma regra para todos os desenvolvedores, independentemente de usarem pip, uv, npm ou cargo. Times de segurança impõem políticas de consumo com uma mudança de config, sem atrito no dia a dia. A abordagem já bloqueou campanhas reais, como o ataque coordenado que comprometeu 639 pacotes npm e a recente violação do ecossistema Axios.

Centralizar a verificação inline reduz a superfície de ataque de dependências transitivas. Em vez de confiar cegamente no repositório, a empresa transforma a instalação em etapa auditável. O controle de listas e o registro de consultas no banco D1 dão material concreto para relatórios de conformidade e resposta a incidentes. Sua esteira de build para de puxar código desconhecido e passa a validar origem antes de tocar o disco.