当你运行 cargo add 或 pip install 时，你相信你正在安装的东西吗？ 🧵

从针对数十亿次下载的拼写欺诈活动，到自我复制的蠕虫和多年的声誉建立。最近的 NPM 攻击使近 500 个软件包受到影响，这只是日益复杂的供应链攻击的一个例子。

但像可信发布这样的前沿防御正在跨生态系统构建，以将隐性信任转化为明确的、可验证的保证。