Mindre er tryggere: hvordan Obsidian reduserer risikoen for angrep i forsyningskjeden Forsyningskjedeangrep er ondsinnede oppdateringer som sniker seg inn i åpen kildekode som brukes av mange apper. Slik designer vi Obsidian for å sikre at appen er et sikkert og privat miljø for tankene dine. Mindre er tryggere Det høres kanskje åpenbart ut, men den primære måten vi reduserer risikoen for forsyningskjedeangrep på er å unngå å være avhengig av tredjepartskode. Obsidian har et lavt antall avhengigheter sammenlignet med andre apper i vår kategori. Se en liste over åpen kildekode-biblioteker på vår Kreditt-side. Funksjoner som baser og kanvas ble implementert fra bunnen av i stedet for å importere hyllebiblioteker. Dette gir oss full kontroll over hva som kjører i Obsidian. - For små verktøyfunksjoner implementerer vi dem nesten alltid på nytt i koden vår. - For mellomstore moduler forgrener vi dem og holder dem inne i kodebasen vår hvis lisensene tillater det. - For store biblioteker som pdf.js, Mermaid og MathJax inkluderer vi kjente gode, versjonslåste filer og oppgraderer bare av og til, eller når sikkerhetsrettinger lander. Vi leser produktmerknader, ser på oppstrømsendringer og tester grundig før vi bytter. Denne tilnærmingen holder avhengighetsgrafen vår grunn med få underavhengigheter. Et mindre overflateareal reduserer sjansen for at en ondsinnet oppdatering slipper gjennom. Hva som faktisk leveres i appen Bare en håndfull pakker er en del av appen du kjører, for eksempel Electron, CodeMirror, moment.js. De andre pakkene hjelper oss med å bygge appen og sender aldri til brukere, for eksempel esbuild eller eslint. Versjonsfesting og låsefiler Alle avhengigheter er strengt versjonsfestet og utført med en låsefil. Låsefilen er kilden til sannhet for bygg, så vi får deterministiske installasjoner. Dette gir oss et enkelt revisjonsspor når vi gjennomgår endringer. Vi kjører ikke skript etter installasjon. Dette hindrer pakker i å kjøre vilkårlig kode under installasjonen. Langsomme, bevisste oppgraderinger Når vi gjør avhengighetsoppdateringer, gjør vi følgende: ...