我们假设您，开发者本人，在乎您的开发环境。 您有责任确保您的操作系统、构建工具链及相应依赖安全。

我们大家所都面临的真正威胁被称作"供应链攻击"，其通常被认为是对您项目的直接依赖之攻击。然而，越来越多的攻击直接针对开发机器，你最好正面解决这个问题。

我们强烈推荐的其中一个实践是，使用特定的 git 哈希修订版本作为您所使用的依赖版本，或退而求其次使用特定发布标签作为使用版本。 此准则同样适用于 Rust 及 Node 生态。 此外，请务必确保所有贡献者对其提交签名，还要保护您的 Git 分支及开发管线。