Ayon sa ME News, noong Abril 21 (UTC+8), ayon sa pagmamasid ng Beating, ipinahayag ng opisyal na account ng Vercel noong umaga ng Abril 21 na matapos ang pagsasama-samang pagsisiyasat kasama ang GitHub, Microsoft, npm, at Socket, walang anumang package na inilabas ng Vercel sa npm na na-modify—ang supply chain ay “nagpapatuloy na ligtas.” Pinapanatili ng Vercel ang mga open-source library tulad ng Next.js, Turbopack, at SWR sa npm, na may kabuuang bilang ng download na milyon-milyon bawat buwan; kung sakaling gamitin ng mga hacker ang account ng empleyado para magtanim ng masasamang code, ang epekto ay maaaring maging mas malaki kaysa sa sariling mga customer ng Vercel. Ang pagsisiyasat na ito ay nag-alis sa pinakamalaking posibleng aksidental na panganib sa insidente. Sa parehong araw, isinagawa ng opisyal na pahayag sa kaligtasan ang pag-update sa tatlong detalye. Ang sakop ng epekto ay unang tinukoy hanggang sa antas ng field. Ayon sa pahayag, ang mga environment variable ng customer na hindi itinuturing na “sensitive” ang nasira, at ito ay naka-store bilang plain text matapos ma-decrypt sa backend. Patuloy pa rin ang pagsisiyasat kung may karagdagang data na kinuha. Isinama sa mga rekomendasyon sa customer ang isang bagong pahayag: “Ang pagtanggal ng Vercel project o account mismo ay hindi nakakalaya sa panganib.” Dapat muna ring palitan ang lahat ng key na hindi itinuturing na sensitive bago isagawa ang aksyon ng pagtanggal, dahil ang mga credential na nakuha ng hacker ay maaari pa ring magdirect-connect sa production system. Sa produkto, binago ang default value: ang mga bagong environment variable ay default na “sensitive” (sensitive: on). Sa mga lumalabas na account, ang default na uri ng bagong variable ay ordinaryo, at kailangan manu-manong i-enable ang sensitive setting—ito ang direkta at daan kung paano nakakapasok ang attacker upang basahin ang mga variable bilang plain text. Ang Dashboard ay naglagay din ng mas detalyadong interface para sa activity logs at team-level environment variable management; ang rekomendasyon na “i-enable ang two-factor authentication” ay inilagay sa pinakamataas na posisyon sa lahat ng mga payo sa kaligtasan. (Pinagmulan: BlockBeats)
Vercel ay nagpapatotoo na hindi naapektuhan ang mga npm package sa insidente ng seguridad
KuCoinFlashI-share
Summary
Napatunayan ng Vercel na hindi naapektuhan ang kanilang npm packages sa isang bagong security breach. Sinabi ng kumpanya na ang Next.js, Turbopack, at SWR ay nanatiling walang pagbabago matapos ang isang joint investigation kasama ang GitHub, Microsoft, npm, at Socket. I-update ng Vercel ang kanilang security advisory, na nagtuturo na lamang ang mga non-sensitive environment variables ang nailabas. Ngayon, itinuturo ng kumpanya ang mga bagong variable bilang sensitive by default at pinabuti ang mga dashboard tool para sa activity logs at team-level management. Patuloy na pinapakita ng on-chain news ang mga update sa supply chain security sa mga pangunahing platform.
Source:Ipakita ang original
Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito.
Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.