Eilen ekosysteemiin kohdistui toimitusketjuhyökkäys, joka kohdistui suosittuun JavaScript-kirjastoon polyfillio. Hyökkääjät lisäsivät pakettiin haitallista koodia, joka saattoi suodattaa käyttäjätietoja tai ohjata liikennettä pahaa-aavistamattomien projektien tuomana. Haluamme vakuuttaa 🦊 käyttäjille, että olet suojattu. Tietoturvakäytäntömme on suunniteltu erityisesti suojautumaan tämäntyyppisiltä tapauksilta: - Version lukitus ja julkaisukurinalaisuus: Lukitsemme riippuvuudet tarkistettuihin versioihin, emme koskaan työnnä suoraan pääversioon ja käytämme sekä automaattisia että manuaalisia tietoturvatarkistuksia koko kehityksen elinkaaren ajan. Kaikki julkaisut käyvät läpi valvotut käyttöönottoprosessit, jotta vaarantuneet paketit eivät pääse liukumaan sisään. - LavaMoat: Kovettunut ajonaikainen suojauskerros, joka estää haitallisen koodin suorittamisen, vaikka riippuvuus vaarantuisi. LavaMoat valvoo eristystä ja käytäntöjen hallintaa koko kehitys- ja ajonaikaisessa ympäristössä. - @blockaid_ : Havaitsee ja merkitsee haitalliset osoitteet lähes välittömästi ja suojaa käyttäjiä vuorovaikutukselta vaarantuneiden dappien tai tietojenkalastelupäätepisteiden kanssa. Toimitusketjuhyökkäykset ovat yksi suurimmista riskeistä nykyaikaisissa ohjelmistoissa, ja eilinen tapaus on muistutus siitä, miksi kerrostetut puolustukset ovat tärkeitä. MM:llä turvallisuudesta ei neuvotella. Panostamme jatkuvasti käyttäjiemme suojaamiseen kehittyviltä uhilta, mukaan lukien tämän kaltaiset riippuvuustason vaarantumiset. Huuda turvallisuustiimille 🦊!