サプライチェーン問題の解決策は、.gitignoreから依存関係を削除すること

現在のサプライチェーン攻撃の多くは、node_modulesやvenvなどの依存関係ディレクトリを.gitignoreに追加せずにgit管理し、CIのインストール手順を省略すれば防げると主張する。依存関係のアップデートや自動ビルドステップを排除することで攻撃対象を99%削減でき、すべての変更が追跡・トレース可能になると説く。npm installの振る舞いやGitHubのコミットハッシュに関する既知のバグも攻撃に悪用されていると指摘する。