前端成了 dapp 的阿喀琉斯之踵,比如之前 ByBit 的被盗,就是因为 Safe 的前端被替换,Safe AWS 上面遭受了攻击导致。但是客户端、浏览器等等,缺少对前端的变化进行检查和校验,npm 供应链也非常容易投毒。
所以在本帖中,我们主要收集、整理、讨论前端的安全性,从编码、引入组件、云服务分发和 CDN、浏览器渲染等等环节,包括相应的标准、机制、组件、包管理工具,我们希望可以最终推动产出一个解决方案可以极大缓解这个问题。
一些资料
Open Source Security Foundation – Linux Foundation Projects,似乎在做类似的开源安全性的工作,但是还没有仔细看。