Wczoraj ekosystem został dotknięty atakiem na łańcuch dostaw, który miał na celu zaatakowanie popularnej biblioteki JavaScript polyfillio. Napastnicy wstrzyknęli złośliwy kod do pakietu, który mógł wykradać dane użytkowników lub przekierowywać ruch, gdy był importowany przez nieświadome projekty. Chcemy zapewnić użytkowników 🦊, że jesteście chronieni. Nasze praktyki bezpieczeństwa są specjalnie zaprojektowane, aby bronić przed tego typu incydentami: - Zamykanie wersji i dyscyplina wydania: Zamykanie zależności do zweryfikowanych wersji, nigdy nie publikujemy bezpośrednio na głównym, a także stosujemy zarówno automatyczne, jak i ręczne kontrole bezpieczeństwa w całym cyklu rozwoju. Wszystkie wydania przechodzą przez monitorowane procesy wdrożeniowe, aby zapobiec wprowadzeniu skompromitowanych pakietów. - LavaMoat: Wzmocniona warstwa bezpieczeństwa w czasie rzeczywistym, która blokuje wykonanie złośliwego kodu, nawet jeśli zależność jest skompromitowana. LavaMoat egzekwuje izolację i kontrolę polityki w całym środowisku rozwoju i uruchamiania. - @blockaid_: Wykrywa i oznacza złośliwe adresy niemal natychmiast, chroniąc użytkowników przed interakcją z skompromitowanymi dappami lub punktami phishingowymi. Ataki na łańcuch dostaw są jednym z największych ryzyk w nowoczesnym oprogramowaniu, a wczorajszy incydent przypomina, dlaczego warstwowe zabezpieczenia mają znaczenie. W MM bezpieczeństwo jest niepodlegające negocjacjom. Nieustannie inwestujemy w ochronę naszych użytkowników przed ewoluującymi zagrożeniami, w tym kompromitacjami na poziomie zależności, takimi jak ta. Pozdrowienia dla zespołu bezpieczeństwa 🦊!