MetaMask安全月报：2022年10月

本月我们异常忙碌！我们带来了Devcon技术分享、新文章发布和社区拓展活动！

安全实验室

“四重后空翻"已成功落地并发布。我们正在研究将SES新版本引入LavaMoat。

同时，我们也在致力于将LavaMoat风格策略引入Endo，以实现按软件包的细粒度权限控制。当前概念验证支持列出全局变量和内置对象，其中内置对象可通过编程方式进行功能弱化（限制API或功能）。

最新版@lavamoat/allow-scripts现已支持开箱即用的Yarn3项目配置，更多改进即将推出。

我们为lavamoat引入了编程API，现在通过require(’lavamoat’)即可在Node应用或脚本中使用，不再仅限于命令行工具。

我们实现了全局变量的安全隔离机制——根据策略捕获全局权限后进行授权，随后移除原始全局引用，从而降低最终用户意外向软件包传递间接引用的风险。

我们即将提供针对近期socket.dev团队发现的攻击方案的防护措施：https://socket.dev/blog/npm-bin-script-confusion

我们在Devcon与大家相聚非常愉快！观看Antonela在主舞台的精彩演讲，了解如何在产品设计中平衡安全性与可用性。

请保持关注，我们下次将分享Kumavis关于LavaMoat的技术演讲。先睹为快：

[点击查看完整图片]

使用LavaMoat解决软件供应链安全问题

如果等不及，您可以立即阅读完整内容！

我们也很自豪地分享Gal对JavaScript程序运行生态系统的深度技术解析，欢迎查阅！

最后但同样重要的是，MetaMask社区团队主导的这场精彩的安全基础通话吸引了超过4000名参与者！亲自观看并分享给您的朋友吧。