サプライチェーン攻撃の事例や各種ツールにおける対策について

ランタイム

パーミッションシステムやdeno.lockなどの仕組みを提供

npmのライフサイクルスクリプト経由での攻撃への対策として--allow-scriptsという仕組みがある

npmのライフサイクルスクリプト経由での攻撃への対策として、trustedDependenciesという仕組みがある

Bun v1.3でSecurity Scanner APIのサポート () や minimumReleaseAgeオプションの追加などが実施

パッケージマネージャー

セキュリティのためにCosignやSLSAなどの仕組みが活用されています

Shai-Hulud攻撃の発生などを受けて、v10.16.0でminimumReleaseAgeオプションが追加]

v1.8.0でSocket Firewallのサポートが追加

cooldownオプションが追加 ()

事例

サードパーティ製のカスタムアクションを使用する際は、git tagではなくコミットハッシュによって参照するとよい (pinactなどのツールを使用すると便利)

2025/09ごろに発生したnpmレジストリへの大規模サプライチェーン攻撃