Chainguard推出可信赖的经过验证的JavaScript库集合

提供可信容器镜像仓库的Chainguard公司宣布推出新的JavaScript依赖可信构建集合。

据Chainguard表示，最近针对JavaScript包管理器npm的攻击事件凸显了需要更安全的机制来使用JavaScript库。该公司指出，公共注册表不会审查库或确保下载的库与源代码匹配。

Chainguard解释称，Chainguard JavaScript库包含具有恶意软件抵抗力的构建，这些构建是在SLSA L2基础设施上从源代码构建的。这有助于保护开源供应链的构建和分发环节免受恶意软件注入。

该集合与流行的制品管理系统（如JFrog Artifactory和Sonatype Nexus）集成，使开发人员可以在使用熟悉工具的同时提高安全性。

“我们正在重新构建我们发布的每个组件，以便组织能够减轻恶意软件威胁，清晰了解其软件中的具体内容，并消除隐藏的供应链漏洞风险，“Chainguard产品高级副总裁Patrick Donahue表示。“最终，我们提供了一个安全可信的JavaScript库来源，使企业能够消除摩擦并增强安全性，而无需要求开发人员改变构建和部署软件的方式。”

Chainguard还为Java提供了类似的产品，包含超过55,000个JAR文件，为Python提供了包含超过15,000个库的产品。该公司还表示，计划在未来为其他语言构建类似的生态系统。