サプライチェーン攻撃の事例や各種ツールにおける対策について

ランタイム

パーミッションシステムやdeno.lockなどの仕組みを提供

npmのライフサイクルスクリプト経由での攻撃への対策として--allow-scriptsという仕組みがある

npmのライフサイクルスクリプト経由での攻撃への対策として、trustedDependenciesという仕組みがある

パッケージマネージャー

セキュリティのためにCosignやSLSAなどの仕組みが活用されています

Shai-Hulud攻撃の発生を受けて、v10.16.0でminimumReleaseAgeオプションが追加

事例

サードパーティ製のカスタムアクションを使用する際は、git tagではなくコミットハッシュによって参照するとよい (pinactなどのツールを使用すると便利)

2025/09ごろに発生したnpmレジストリへの大規模サプライチェーン攻撃