Chainguard推出可信赖的经过验证的JavaScript库集合

Chainguard是一家提供可信容器镜像仓库的公司，近日宣布推出新的JavaScript依赖可信构建集合。

据Chainguard称，最近针对JavaScript包管理器npm的攻击凸显了对更安全机制来使用JavaScript库的需求。该公司表示，公共注册表不会审查库或确保下载的库与源代码匹配。

Chainguard解释说，Chainguard Libraries for JavaScript包含具有恶意软件抵抗能力的构建，这些构建是从SLSA L2基础设施上的源代码构建的。这有助于在开源供应链的构建和分发环节防范恶意软件注入。

该集合与流行的制品管理系统（如JFrog Artifactory和Sonatype Nexus）集成，使开发人员能够在继续使用熟悉工具的同时提高安全性。

“我们正在重新构建我们发布的每个组件，使组织能够减轻恶意软件威胁，清晰了解其软件中的具体内容，并消除隐藏的供应链漏洞风险，“Chainguard产品高级副总裁Patrick Donahue表示。“最终，我们提供了一个安全、可信的JavaScript库来源，使企业能够消除摩擦并增强安全性，而无需要求开发人员改变他们构建和部署软件的方式。”

Chainguard还为Java提供了类似的解决方案，包含超过55,000个JAR文件，为Python提供了包含超过15,000个库的解决方案。该公司还表示，计划在未来为其他语言构建类似的生态系统。