Episode Details

Back to Episodes
137. サプライチェーン攻撃 w/ stefafafan

137. サプライチェーン攻撃 w/ stefafafan

Published 10 hours ago
Description

stefafafanさんをゲストに迎え、サプライチェーン攻撃についてお話しいただいたエピソードです。npmパッケージやGitHub Actionsなどを狙った具体的な事例を交えながら、攻撃の手口や背景、事業会社のプロダクトエンジニアが実践すべき防御策、攻撃の検知方法、そしてインシデント発生時の対応まで、実務に直結するセキュリティ事情について語っていただきました。

話したネタ

  • サプライチェーン攻撃とはそもそも何か?
  • 近年の脆弱性攻撃のトレンドとゼロデイ攻撃の脅威
  • axiosとtanstackの事例
  • 開発者のローカル環境が狙われやすい理由
  • 攻撃者視点から見た、サプライチェーン攻撃のコストパフォーマンスの良さ
  • プロダクトエンジニアが実践すべき防御策と多層防御の考え方
  • DependabotやRenovateなどでのクールダウン期間の設定
  • npm install時の自動スクリプト実行を防ぐ対策(ignore-scripts)
  • コミットハッシュでのバージョン固定(pinactやdockerfile-pin等の活用)
  • 静的解析ツール(actionlint、zizmor、zhalint、ghasecなど)の活用
  • 認証情報の権限最小化やライブラリの棚卸しといった対策
  • 今後のOSSとの付き合い方
  • スマートバンク社の採用情報


See Privacy Policy at https://art19.com/privacy and California Privacy Notice at https://art19.com/privacy#do-not-sell-my-info.

Listen Now

Love PodBriefly?

If you like Podbriefly.com, please consider donating to support the ongoing development.

Support Us