Mindre är säkrare: hur Obsidian minskar risken för attacker mot leveranskedjan Supply chain-attacker är skadliga uppdateringar som smyger sig in i öppen källkod som används av många appar. Så här designar vi Obsidian för att säkerställa att appen är en säker och privat miljö för dina tankar. Mindre är säkrare Det kan låta självklart, men det främsta sättet att minska risken för attacker i leveranskedjan är att undvika att vara beroende av kod från tredje part. Obsidian har ett lågt antal beroenden jämfört med andra appar i vår kategori. Se en lista över bibliotek med öppen källkod på vår sida Krediter. Funktioner som Bases och Canvas implementerades från grunden istället för att importera färdiga bibliotek. Detta ger oss full kontroll över vad som körs i Obsidian. - För små nyttofunktioner implementerar vi nästan alltid om dem i vår kod. - För medelstora moduler gafflar vi dem och håller dem i vår kodbas om licenserna tillåter det. - För stora bibliotek som pdf.js, Mermaid och MathJax inkluderar vi kända bra, versionslåsta filer och uppgraderar bara ibland, eller när säkerhetskorrigeringar landar. Vi läser viktig information, tittar på ändringar uppströms och testar noggrant innan vi byter. Den här metoden håller vårt beroendediagram grunt med få underberoenden. En mindre yta minskar risken för att en skadlig uppdatering slinker igenom. Vad som faktiskt levereras i appen? Endast en handfull paket är en del av appen du kör, t.ex. Electron, CodeMirror moment.js. De andra paketen hjälper oss att bygga appen och skickar aldrig till användare, t.ex. esbuild eller eslint. Fästa versioner och lås filer Alla beroenden är strikt versionsfästa och checkas in med en låsfil. Låsfilen är sanningskällan för byggen så vi får deterministiska installationer. Detta ger oss en enkel verifieringskedja när vi granskar ändringar. Vi kör inte skript efter installationen. Detta förhindrar paket från att exekvera godtycklig kod under installationen. Långsamma, avsiktliga uppgraderingar När vi gör beroendeuppdateringar gör vi följande: ...