昨日、エコシステムは、人気のあるJavaScriptライブラリpolyfillioを標的としたサプライチェーン攻撃に見舞われました。攻撃者はパッケージに悪意のあるコードを挿入し、疑いを持たないプロジェクトによってインポートされたときにユーザー データが盗み出されたり、トラフィックがリダイレクトされたりする可能性があります。 私たちは、あなたが保護されていることをユーザーに安心させ🦊たいと考えています。当社のセキュリティ慣行は、次のタイプのインシデントから防御するために特別に設計されています。 - バージョンのロックとリリースの規律: 依存関係を精査されたバージョンにロックし、メインに直接プッシュすることはなく、開発ライフサイクル全体を通じて自動と手動の両方のセキュリティ チェックを使用します。すべてのリリースは、侵害されたパッケージが侵入するのを防ぐために、監視されたロールアウト プロセスを経ます。 - LavaMoat: 依存関係が侵害された場合でも悪意のあるコードの実行をブロックする強化されたランタイム セキュリティ層。LavaMoatは、開発およびランタイム環境全体にわたって分離とポリシー制御を適用します。 - @blockaid_ : 悪意のあるアドレスをほぼ瞬時に検出してフラグを立て、侵害された dapp やフィッシング エンドポイントとのやり取りからユーザーを保護します。 サプライチェーン攻撃は、現代のソフトウェアにおける最大のリスクの1つであり、昨日のインシデントは、多層防御がなぜ重要なのかを思い出させてくれます。MM では、セキュリティは交渉の余地がありません。私たちは、今回のような依存関係レベルの侵害を含む、進化する脅威からユーザーを保護するために継続的に投資しています。 警備チームに🦊声をかけてください!