O Sigstore GA significa que você pode proteger sua cadeia de suprimentos de software hoje com ações do GitHub e alimenta novos recursos de segurança do NPM em um futuro próximo.Agora, você tem a capacidade de usar a configuração padrão nos repositórios da sua organização, em apenas um clique.Recebemos ótimos comentários sobre a configuração padrão, uma maneira simples de configurar a digitalização de código em seu repositório.Como o DependBot se integrou ao NPM para abordar as vulnerabilidades de segurança em dependências transitivas e aumentar a probabilidade de sucesso das atualizações de segurança do JavaScript em 40%.Os mantenedores de código aberto e os pesquisadores de segurança adotam uma nova prática recomendada para relatar e corrigir vulnerabilidades.
Fonte: https://github.blog/2023-04-19-introducing-npm-package-provenance/
