blogged.
サプライチェーン攻撃対策としてDependabotでcooldown(default-days:7)とCI検証、fork同等権限で安全に更新する方法を解説。
cooldownは最低限の自衛だけど、開発者の手元でうっかり更新されたら終わりなのがサプライチェーンの闇
“actions/dependency-review-action”知らなかった
誰かが先に見つけてくれるのを期待するというやり方を皆がすると結局成り立たない
“検証してから最新バージョンに更新する”分かる
(全員が一週間待ったらどうなるの?という事はずっと疑問に思っているやつ)
サプライチェーンアタック対策とdependabot活用 | おそらくはそれさえも平凡な日々
blogged.
サプライチェーン攻撃対策としてDependabotでcooldown(default-days:7)とCI検証、fork同等権限で安全に更新する方法を解説。
cooldownは最低限の自衛だけど、開発者の手元でうっかり更新されたら終わりなのがサプライチェーンの闇
“actions/dependency-review-action”知らなかった
誰かが先に見つけてくれるのを期待するというやり方を皆がすると結局成り立たない
“検証してから最新バージョンに更新する”分かる
(全員が一週間待ったらどうなるの?という事はずっと疑問に思っているやつ)