Igår drabbades ekosystemet av en attack mot leveranskedjan som riktade sig mot det populära JavaScript-biblioteket polyfillio. Angripare matade in skadlig kod i paketet, som kunde exfiltrera användardata eller omdirigera trafik när den importerades av intet ont anande projekt. Vi vill försäkra användarna om 🦊 att du är skyddad. Våra säkerhetsrutiner är särskilt utformade för att skydda mot dessa typer av incidenter: - Versionslåsning och versionsdisciplin: Vi låser beroenden till granskade versioner, skickar aldrig direkt till huvudversionen och använder både automatiserade och manuella säkerhetskontroller under hela utvecklingslivscykeln. Alla utgåvor går igenom övervakade utrullningsprocesser för att förhindra att komprometterade paket slinker in. - LavaMoat: Ett härdat säkerhetslager som blockerar körning av skadlig kod även om ett beroende äventyras. LavaMoat tillämpar isolering och policykontroller i hela utvecklings- och körningsmiljön. - @blockaid_ : Upptäcker och flaggar skadliga adresser nästan omedelbart, vilket skyddar användare från att interagera med komprometterade dapps eller phishing-slutpunkter. Attacker mot försörjningskedjan är en av de största riskerna i modern programvara, och gårdagens incident är en påminnelse om varför det är viktigt att skydda i flera lager. På MM är säkerheten inte förhandlingsbar. Vi investerar kontinuerligt i att skydda våra användare från nya hot, inklusive kompromisser på beroendenivå som den här. Shout out till 🦊 säkerhetsteamet!