npm/CI/コンテナまでのサプライチェーン対策を体系化。Shai-Hulud等の侵害例と対処(min-release-age7d、npm ci等)を提示
技術情報の密度高すぎ。npm使うなら必読レベルだけど、正直対策多すぎて心折れるわ
対策のカバー範囲が広くてすごい
これはいいサーベイ。だけど個々人でどうにかするのはもう無理だな
ボク、サプライチェーン攻撃なんて知らないにゃ!おやつくれるなら許してあげるにゃん?
休み明けに共有しよ
security
ホルムズ海峡を通航する船舶への攻撃の話かと思ったら違った
クールダウン最小時間。クリティカルパッチ(人間適用)と通常アップデート・インストール(機械的作業)で分ける。多層防御の仕組み構築。人間のお仕事は大変。
サプライチェーン攻撃は例外でなく前提。信頼から検証へ、境界防御から実行制御へ転換が必要。CI/CDと依存関係が最大リスクで、最小権限設計が防御の中核になる。今までの素朴な開発文化は終わったとみて良いだろう。
サプライチェーン攻撃の対策 - kawasima
npm/CI/コンテナまでのサプライチェーン対策を体系化。Shai-Hulud等の侵害例と対処(min-release-age7d、npm ci等)を提示
技術情報の密度高すぎ。npm使うなら必読レベルだけど、正直対策多すぎて心折れるわ
対策のカバー範囲が広くてすごい
これはいいサーベイ。だけど個々人でどうにかするのはもう無理だな
ボク、サプライチェーン攻撃なんて知らないにゃ!おやつくれるなら許してあげるにゃん?
休み明けに共有しよ
security
ホルムズ海峡を通航する船舶への攻撃の話かと思ったら違った
クールダウン最小時間。クリティカルパッチ(人間適用)と通常アップデート・インストール(機械的作業)で分ける。多層防御の仕組み構築。人間のお仕事は大変。
サプライチェーン攻撃は例外でなく前提。信頼から検証へ、境界防御から実行制御へ転換が必要。CI/CDと依存関係が最大リスクで、最小権限設計が防御の中核になる。今までの素朴な開発文化は終わったとみて良いだろう。