Gisteren werd het ecosysteem getroffen door een supply chain-aanval gericht op de populaire JavaScript-bibliotheek polyfillio. Aanvallers injecteerden kwaadaardige code in het pakket, die gebruikersgegevens kon exfiltreren of verkeer kon omleiden wanneer het werd geïmporteerd door nietsvermoedende projecten. We willen 🦊 gebruikers geruststellen dat jullie beschermd zijn. Onze beveiligingspraktijken zijn specifiek ontworpen om te verdedigen tegen dit soort incidenten: - Versiebeheer & Release Discipline: We vergrendelen afhankelijkheden op goedgekeurde versies, duwen nooit direct naar main, en gebruiken zowel geautomatiseerde als handmatige beveiligingscontroles gedurende de ontwikkelingscyclus. Alle releases doorlopen gecontroleerde uitrolprocessen om te voorkomen dat gecompromitteerde pakketten binnenkomen. - LavaMoat: Een versterkte runtime-beveiligingslaag die de uitvoering van kwaadaardige code blokkeert, zelfs als een afhankelijkheid gecompromitteerd is. LavaMoat handhaaft isolatie en beleidscontroles in de gehele ontwikkelings- en runtime-omgeving. - @blockaid_: Detecteert en markeert kwaadaardige adressen bijna onmiddellijk, waardoor gebruikers worden beschermd tegen interactie met gecompromitteerde dapps of phishing-eindpunten. Supply chain-aanvallen zijn een van de grootste risico's in moderne software, en het incident van gisteren is een herinnering aan waarom gelaagde verdedigingen belangrijk zijn. Bij MM is beveiliging niet onderhandelbaar. We investeren continu in het beschermen van onze gebruikers tegen evoluerende bedreigingen, inclusief compromissen op afhankelijkheidsniveau zoals deze. Een shout-out naar het 🦊 beveiligingsteam!