Episode Details
Back to Episodes
137. サプライチェーン攻撃 w/ stefafafan
Published 10 hours ago
Description
stefafafanさんをゲストに迎え、サプライチェーン攻撃についてお話しいただいたエピソードです。npmパッケージやGitHub Actionsなどを狙った具体的な事例を交えながら、攻撃の手口や背景、事業会社のプロダクトエンジニアが実践すべき防御策、攻撃の検知方法、そしてインシデント発生時の対応まで、実務に直結するセキュリティ事情について語っていただきました。
話したネタ
- サプライチェーン攻撃とはそもそも何か?
- 近年の脆弱性攻撃のトレンドとゼロデイ攻撃の脅威
- axiosとtanstackの事例
- 開発者のローカル環境が狙われやすい理由
- 攻撃者視点から見た、サプライチェーン攻撃のコストパフォーマンスの良さ
- プロダクトエンジニアが実践すべき防御策と多層防御の考え方
- DependabotやRenovateなどでのクールダウン期間の設定
- npm install時の自動スクリプト実行を防ぐ対策(ignore-scripts)
- コミットハッシュでのバージョン固定(pinactやdockerfile-pin等の活用)
- 静的解析ツール(actionlint、zizmor、zhalint、ghasecなど)の活用
- 認証情報の権限最小化やライブラリの棚卸しといった対策
- 今後のOSSとの付き合い方
- スマートバンク社の採用情報
See Privacy Policy at https://art19.com/privacy and California Privacy Notice at https://art19.com/privacy#do-not-sell-my-info.