npm

GitHub希望引入開源軟體認證專案Sigstore解決軟體供應鏈攻擊的問題，但是卻因可能造成套件供應商化以及隱私等問題，遭到社群反對

為了讓開發人員更方便使用2FA，GitHub強化npm身分驗證機制，包括簡化以npm CLI登入和發布、連結GitHub和Twitter帳號到npm，重新簽發npm所有套件，並增加稽核套件完整性的新npm CLI指令

在本週資安新聞裡，F5在月初修補的BIG-IP系統漏洞CVE-2022-1388，已經開始有破壞性攻擊的情況而值得關注後續發展；再者，勒索軟體攻擊導致哥斯大黎加進入緊急狀態、林肯學院閉校，也突顯這類威脅的情勢越來越險峻

在5月第一個星期的資安新聞裡，從事竊密、暗中埋伏行動的資安事故占有相當高的比例，而且，駭客運用了過往可能較少出現的工具，或是較為罕見的手法，使得組織更加難以防範

在本週末的資安新聞中，網路間諜的攻擊行動占了近半數，而且，當中出現了不少過往相當少見的手法

從國際整體的資安態勢而言，勒索軟體駭客組織Conti疑似另起爐灶的情形，引起研究人員的注意；而在國內的資安新聞裡，上市櫃公司為了尋求資安長之間彼此互通有無，特別組成了聯盟來交流相關經驗

駭客濫用了授予Heroku及Travis-CI的OAuth使用者權杖，以於GitHub存取及下載屬於數十個組織的資料

勒索軟體駭客Lapsus$先後公布入侵微軟、Okta的螢幕截圖，並聲稱取得微軟部分產品的原始碼；再者，則是開源的軟體管理系統Chocolatey，罕見地被用於法國的政府機關與企業，而引起研究人員關注