Вчора екосистема постраждала від атаки на ланцюжок поставок, націлену на популярну бібліотеку JavaScript polyfillio. Зловмисники впровадили в пакет шкідливий код, який міг викрасти дані користувача або перенаправити трафік при імпорті нічого не підозрюючими проектами. Ми хочемо запевнити 🦊 користувачів, що ви захищені. Наші методи безпеки спеціально розроблені для захисту від таких типів інцидентів: - Блокування версій та дисципліна випуску: Ми блокуємо залежності до перевірених версій, ніколи не надсилаємо безпосередньо до main і використовуємо як автоматичні, так і ручні перевірки безпеки протягом усього життєвого циклу розробки. Усі релізи проходять контрольовані процеси розгортання, щоб запобігти прослизанню скомпрометованих пакетів. - LavaMoat: Посилений рівень безпеки під час виконання, який блокує виконання шкідливого коду, навіть якщо залежність скомпрометована. LavaMoat забезпечує ізоляцію та контроль політик у всьому середовищі розробки та виконання. - @blockaid_ : майже миттєво виявляє та позначає шкідливі адреси, захищаючи користувачів від взаємодії зі скомпрометованими децентралізованими програмами або фішинговими кінцевими точками. Атаки на ланцюжки поставок є одним із найбільших ризиків у сучасному програмному забезпеченні, і вчорашній інцидент є нагадуванням про те, чому багаторівневий захист важливий. У ММ безпека не підлягає обговоренню. Ми постійно інвестуємо в захист наших користувачів від мінливих загроз, включаючи компрометацію на рівні залежностей, як ця. Кричіть команді 🦊 безпеки!