Ayer, el ecosistema se vio afectado por un ataque a la cadena de suministro dirigido a la popular biblioteca de JavaScript polyfillio. Los atacantes inyectaron código malicioso en el paquete, que podría filtrar datos del usuario o redirigir el tráfico cuando se importan proyectos desprevenidos. Queremos asegurar 🦊 a los usuarios que están protegidos. Nuestras prácticas de seguridad están diseñadas específicamente para defenderse contra este tipo de incidentes: - Disciplina de bloqueo y liberación de versiones: bloqueamos las dependencias de las versiones examinadas, nunca enviamos directamente a main y utilizamos comprobaciones de seguridad automatizadas y manuales a lo largo del ciclo de vida del desarrollo. Todas las versiones pasan por procesos de implementación supervisados para evitar que los paquetes comprometidos se cuelen. - LavaMoat: Una capa de seguridad de tiempo de ejecución reforzada que bloquea la ejecución de código malicioso incluso si una dependencia se ve comprometida. LavaMoat aplica controles de aislamiento y políticas en todo el entorno de desarrollo y tiempo de ejecución. - @blockaid_ : Detecta y marca direcciones maliciosas casi al instante, protegiendo a los usuarios de interactuar con dapps comprometidas o puntos finales de phishing. Los ataques a la cadena de suministro son uno de los mayores riesgos en el software moderno, y el incidente de ayer es un recordatorio de por qué son importantes las defensas en capas. En MM, la seguridad no es negociable. Invertimos continuamente en proteger a nuestros usuarios de amenazas en evolución, incluidos los compromisos de nivel de dependencia como este. ¡Un saludo al equipo de 🦊 seguridad!