Včera byl ekosystém zasažen útokem na dodavatelský řetězec zaměřeným na populární JavaScriptovou knihovnu polyfillio. Útočníci do balíčku vložili škodlivý kód, který by mohl exfiltrovat uživatelská data nebo přesměrovat provoz při importu nic netušícími projekty. Chceme uživatele ujistit 🦊, že jste chráněni. Naše bezpečnostní postupy jsou speciálně navrženy tak, aby chránily před těmito typy incidentů: - Disciplína zamykání verzí a vydávání: Uzamykáme závislosti na prověřených verzích, nikdy je neodesíláme přímo do hlavní verze a používáme automatizované i manuální bezpečnostní kontroly v průběhu celého životního cyklu vývoje. Všechny verze procházejí monitorovanými procesy zavádění, aby se zabránilo proklouznutí kompromitovaných balíčků. - LavaMoat: Zpřísněná vrstva zabezpečení za běhu, která blokuje spuštění škodlivého kódu, i když je ohrožena závislost. LavaMoat vynucuje izolaci a kontrolu zásad v celém vývojovém a běhovém prostředí. - @blockaid_ : Téměř okamžitě detekuje a označuje škodlivé adresy a chrání uživatele před interakcí s kompromitovanými dapps nebo phishingovými koncovými body. Útoky na dodavatelské řetězce jsou jedním z největších rizik moderního softwaru a včerejší incident je připomínkou toho, proč je vrstvená obrana důležitá. U MM je bezpečnost neoddiskutovatelná. Neustále investujeme do ochrany našich uživatelů před vyvíjejícími se hrozbami, včetně ohrožení zabezpečení na úrovni závislosti, jako je tento. Zakřičte na 🦊 bezpečnostní tým!