Czy ufasz temu, co instalujesz, gdy uruchamiasz cargo add lub pip install? 🧵

Od kampanii związanych z typosquattingiem, które celują w miliardy pobrań, po samoreplikujące się robaki i wieloletnie budowanie reputacji. Niedawny atak na NPM, który skompromitował prawie 500 pakietów, to tylko jeden przykład coraz bardziej wyrafinowanych ataków na łańcuch dostaw.

Jednak nowoczesne zabezpieczenia, takie jak Zaufane Publikowanie, są budowane w różnych ekosystemach, aby przekształcić domniemane zaufanie w jawne, weryfikowalne gwarancje.