Чи довіряєте ви тому, що встановлюєте, коли запускаєте завантаження вантажу або pip install? 🧵

Від тайпсквотингових кампаній, націлених на мільярди завантажень, до самовідтворюваних черв'яків і багаторічного створення репутації. Нещодавня атака NPM, яка скомпрометувала майже 500 посилок, є лише одним із прикладів дедалі складніших атак на ланцюжок поставок.

Але передові засоби захисту, як-от Trusted Publishing, будуються в екосистемах, щоб перетворити неявну довіру на чіткі гарантії, які можна перевірити.