npm

NPM套件維護者現在可以創建精細度權杖，以最小權限來自動化發布工作，以及管理組織工作流程

開發者在Deno 1.28中，現在可以穩定匯入使用130萬個NPM套件，開發團隊也持續解決部分套件與Deno不相容的狀況

GitHub希望引入開源軟體認證專案Sigstore解決軟體供應鏈攻擊的問題，但是卻因可能造成套件供應商化以及隱私等問題，遭到社群反對

為了讓開發人員更方便使用2FA，GitHub強化npm身分驗證機制，包括簡化以npm CLI登入和發布、連結GitHub和Twitter帳號到npm，重新簽發npm所有套件，並增加稽核套件完整性的新npm CLI指令

在本週資安新聞裡，F5在月初修補的BIG-IP系統漏洞CVE-2022-1388，已經開始有破壞性攻擊的情況而值得關注後續發展；再者，勒索軟體攻擊導致哥斯大黎加進入緊急狀態、林肯學院閉校，也突顯這類威脅的情勢越來越險峻

在5月第一個星期的資安新聞裡，從事竊密、暗中埋伏行動的資安事故占有相當高的比例，而且，駭客運用了過往可能較少出現的工具，或是較為罕見的手法，使得組織更加難以防範

在本週末的資安新聞中，網路間諜的攻擊行動占了近半數，而且，當中出現了不少過往相當少見的手法

從國際整體的資安態勢而言，勒索軟體駭客組織Conti疑似另起爐灶的情形，引起研究人員的注意；而在國內的資安新聞裡，上市櫃公司為了尋求資安長之間彼此互通有無，特別組成了聯盟來交流相關經驗