Gestern wurde das Ökosystem von einem Supply-Chain-Angriff getroffen, der sich gegen die beliebte JavaScript-Bibliothek polyfillio richtete. Angreifer injizierten bösartigen Code in das Paket, der Benutzerdaten exfiltrieren oder den Datenverkehr umleiten konnte, wenn er von ahnungslosen Projekten importiert wurde. Wir möchten die 🦊-Nutzer beruhigen, dass ihr geschützt seid. Unsere Sicherheitspraktiken sind speziell darauf ausgelegt, gegen diese Arten von Vorfällen zu verteidigen: - Versionssperre & Veröffentlichungsdisziplin: Wir sperren Abhängigkeiten auf geprüfte Versionen, pushen niemals direkt auf main und verwenden sowohl automatisierte als auch manuelle Sicherheitsprüfungen über den gesamten Entwicklungszyklus. Alle Veröffentlichungen durchlaufen überwachte Rollout-Prozesse, um zu verhindern, dass kompromittierte Pakete durchrutschen. - LavaMoat: Eine gehärtete Sicherheitsschicht zur Laufzeit, die die Ausführung von bösartigem Code blockiert, selbst wenn eine Abhängigkeit kompromittiert ist. LavaMoat erzwingt Isolation und Richtlinienkontrollen über die gesamte Entwicklungs- und Laufzeitumgebung. - @blockaid_: Erkennt und kennzeichnet bösartige Adressen nahezu sofort und schützt die Nutzer davor, mit kompromittierten dapps oder Phishing-Endpunkten zu interagieren. Supply-Chain-Angriffe gehören zu den größten Risiken in moderner Software, und der Vorfall von gestern erinnert uns daran, warum mehrschichtige Verteidigungen wichtig sind. Bei MM ist Sicherheit nicht verhandelbar. Wir investieren kontinuierlich in den Schutz unserer Nutzer vor sich entwickelnden Bedrohungen, einschließlich Kompromittierungen auf Abhängigkeitsebene wie dieser. Ein großes Dankeschön an das 🦊-Sicherheitsteam!