Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Dependabot cooldownで始める サプライチェーン攻撃対策

Avatar for hiro_shi hiro_shi
January 16, 2026
0
25

Dependabot cooldownで始める サプライチェーン攻撃対策

Road to SRE NEXT 2026 @京都のLT資料です。

Avatar for hiro_shi

hiro_shi

January 16, 2026
Tweet

More Decks by hiro_shi

See All by hiro_shi
BigQueryで取得した数値をPHPで扱うときにこわれた話
Avatar for hiro_shi 164fm
0
7
やさしい障害対応
Avatar for hiro_shi 164fm
0
3
謎コミットアワード2025
Avatar for hiro_shi 164fm
0
3
本当にあった"なにもしてないのにこわれた"
Avatar for hiro_shi 164fm
0
7
スクラム開発をするなら残業しないほうがいい
Avatar for hiro_shi 164fm
0
13
Terraform import blockを使って 既存のAWSリソースをインポートした話
Avatar for hiro_shi 164fm
0
16
勘所を押さえて良いコードを書く
Avatar for hiro_shi 164fm
1
31

Featured

See All Featured
Impact Scores and Hybrid Strategies: The future of link building
Avatar for Tamara Novitovic tamaranovitovic
0
200
Unlocking the hidden potential of vector embeddings in international SEO
Avatar for Frank van Dijk frankvandijk
0
170
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
331
21k
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
348
40k
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
Avatar for Tech SEO Connect techseoconnect
PRO
0
89
Marketing Yourself as an Engineer | Alaka | Gurzu
Avatar for Gurzu gurzu
0
130
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
31
5.8k
Prompt Engineering for Job Search
Avatar for Mfonobong Umondia mfonobong
0
160
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
380
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
74
11k
Color Theory Basics | Prateek | Gurzu
Avatar for Gurzu gurzu
0
200
Ruling the World: When Life Gets Gamed
Avatar for Sebastian Deterding codingconduct
0
150

Transcript

  1. Dependabot cooldownで始める サプライチェーン攻撃対策 Road to SRE NEXT 2026 @京都 2026/01/16

  2. name: ヒロ氏, job: ソフトウェアエンジニア, 所属: テテマーチ(株), ハマってること: 原神・競馬, 最近読んでる本: Goのオライリー本,

    興味あること: 競艇・競輪 X アカウント:

  3. AGENDA 01 | 最近?のサプライチェーン攻撃 02 | Dependabotのcooldownとは? 03 | 運用にあたりチームで相談すること

    04 | まとめ

  4. 01 最近?のサプライチェーン攻撃

  5. 最近?のサプライチェーン攻撃 引用: https://aws.amazon.com/jp/blogs/news/what-aws-security-learned-from-responding-to-recent-npm-supply-chain-threat-campaigns/

  6. 最近?のサプライチェーン攻撃 引用: https://aws.amazon.com/jp/blogs/news/what-aws-security-learned-from-responding-to-recent-npm-supply-chain-threat-campaigns/

  7. 最近?のサプライチェーン攻撃 AWSはこれらの教訓から以下の対応プロセスを実施する 影響を受けたパッケージを Open Source Security Foundationに登録し、   セキュリティコミュニティ全体で連携する 疑わしいアクティビティが検出された場合に通知する

    侵害された npm パッケージを分析

  8. 最近?のサプライチェーン攻撃 AWSはこれらの教訓から以下の対応プロセスを実施する 影響を受けたパッケージを Open Source Security Foundationに登録し、   セキュリティコミュニティ全体で連携する 疑わしいアクティビティが検出された場合に通知する

    侵害された npm パッケージを分析 そんな体力 ありません そんな体力 ありません

  9. 02 Dependabotのcooldownとは?

  10. Dependabotのcooldownとは? 新しくリリースされた依存関係に対してプルリクエストを作成する までの最小経過時間の設定 2025年07月に公開 リリース後すぐのバージョンを取り込むことを回避できる https://docs.github.com/en/code-security/reference/supply-chain-security/dependabot-options-reference#cooldown- https://github.blog/changelog/2025-07-01-dependabot-supports-configuration-of-a-minimum-package-age/

  11. 詳しいオプションについて https://docs.github.com/en/code-security/reference/supply-chain-security/dependabot-options-reference#configuration-of-cooldown

  12. cooldownを使うと何がうれしいのか サードパーティのライブラリには、悪意がなくても新しいバージョ ンに重大な脆弱性があったり、中には意図した悪意のあるコードが 埋め込まれているリスクがあります このような脆弱性が公になる前に不適切なバージョンを取り込 んでしまうことを未然に防げる仕組みがcooldownの設定です そうすることで成熟した・安定したライブラリの利用を保つこ とができます

  13. 03 運用にあたりチームで相談すること

  14. 運用にあたりチームで相談すること cooldownの設定値をどうするかは話すべきです 一週間ではスパンが短いから2週間置いておくとか セキュリティインシデントのあるバージョンであれば、セキュ リティパッチの入った更新をDependabotが作成してくれるの で、余裕を持った数値にするとか

  15. 04 まとめ

  16. まとめ ライブラリのバージョンアップを放置することもセキュリティリス クであるが、すぐに新しいバージョンを取り込んでしまうのも昨今 のサプライチェーン攻撃の背景からリスクとも取れる cooldownの設定をする際は、新しいバージョンの公開からどれくら いの期間が経過すれば“安定”と取れるかはチームで議論するべき

  17. 宣伝

  18. None
  19. None
  20. None
  21. None

  22. ご清聴ありがとうございました