Hôm qua, hệ sinh thái đã bị tấn công bởi một cuộc tấn công chuỗi cung ứng nhắm vào thư viện JavaScript phổ biến polyfillio. Kẻ tấn công đã chèn mã độc vào gói, có thể lấy cắp dữ liệu người dùng hoặc chuyển hướng lưu lượng truy cập khi được nhập vào các dự án không nghi ngờ. Chúng tôi muốn đảm bảo với người dùng 🦊 rằng bạn được bảo vệ. Các thực tiễn bảo mật của chúng tôi được thiết kế đặc biệt để phòng ngừa những loại sự cố này: - Khóa Phiên bản & Kỷ luật Phát hành: Chúng tôi khóa các phụ thuộc vào các phiên bản đã được kiểm tra, không bao giờ đẩy trực tiếp vào nhánh chính, và sử dụng cả kiểm tra bảo mật tự động và thủ công trong suốt vòng đời phát triển. Tất cả các bản phát hành đều trải qua quy trình triển khai được giám sát để ngăn chặn các gói bị xâm nhập. - LavaMoat: Một lớp bảo mật thời gian chạy được tăng cường ngăn chặn việc thực thi mã độc ngay cả khi một phụ thuộc bị xâm nhập. LavaMoat thực thi việc cách ly và kiểm soát chính sách trên toàn bộ môi trường phát triển và thời gian chạy. - @blockaid_ : Phát hiện và đánh dấu các địa chỉ độc hại gần như ngay lập tức, bảo vệ người dùng khỏi việc tương tác với các dapp bị xâm nhập hoặc các điểm cuối lừa đảo. Các cuộc tấn công chuỗi cung ứng là một trong những rủi ro lớn nhất trong phần mềm hiện đại, và sự cố hôm qua là một lời nhắc nhở về tầm quan trọng của việc phòng thủ nhiều lớp. Tại MM, bảo mật là điều không thể thương lượng. Chúng tôi liên tục đầu tư vào việc bảo vệ người dùng khỏi các mối đe dọa đang phát triển, bao gồm cả các sự cố ở cấp độ phụ thuộc như thế này. Chúc mừng đội ngũ bảo mật 🦊!