Upgrade to Pro — share decks privately, control downloads, hide ads and more …

脆弱性のあるJavaScriptライブラリの使用を防ぐには / #sec_kansai 14

Masashi Hirano
April 10, 2019
Programming
6
2.9k

脆弱性のあるJavaScriptライブラリの使用を防ぐには / #sec_kansai 14

総関西サイバーセキュリティLT大会(第14回) ( https://sec-kansai.connpass.com/event/122914/ ) でJavaScriptライブラリの脆弱性に関する発表を行いました。

Masashi Hirano

April 10, 2019
Tweet

More Decks by Masashi Hirano

See All by Masashi Hirano
フロントエンド開発のためのセキュリティ入門について
masashi
1
200
フロントエンド開発のためのセキュリティ入門
masashi
35
10k
Node.jsの2022年と未来 / Node.js in 2022 and Future
masashi
1
810
Corepack ~Node.jsに追加されたパッケージマネージャーマネージャー~ / #tng37
masashi
3
9.7k
Node.js + Web Compatibility
masashi
2
420
サイボウズが行うフロントエンドの品質保証 / Frontend Quality Assurance at Cybozu
masashi
10
2.6k
実践 OSSことはじめ / First Step for OSS Contribution
masashi
4
7k
Prettier Plugins
masashi
1
1.1k
2019年のコミュニティ活動報告 / Community Activity in 2019
masashi
0
220

Other Decks in Programming

See All in Programming
Micro Frontends for Java Developers - Devoxx UK 2023
mraible
PRO
1
200
Goのジェネリクスを活用する
syumai
2
1.2k
Symfony Messenger et ses messages: à la queleuleu…. Et s’il était temps de grouper ?
alli83
1
230
Design Doc の書き方 / How to Write a Design Doc (Ja ver.)
munetoshi
20
6.6k
Revisiting TypeProf - IDE support as a primary feature
mame
1
210
NotionのURLをWorkersで綺麗にしよう!
totto2727
0
200
読みやすいコードの書き方 第 1 回 / Code readability: Session 1 (ver. 2, Ja)
munetoshi
1
510
オンボーディングのために 私はプロダクト考古学者になりました!
akitotsukahara
3
220
Kotlin Multiplatform Library 배포하기
fornewid
0
200
Mitigate Attacks on your PHP Supply Chain
dunglas
2
550
Unexplored Region - parse.y -
yui_knk
2
1.2k
From Cloud-Native Java and Quarkus 3 with Love @ DevoxxUK 2023 London
hpgrahsl
0
160

Featured

See All Featured
How to Ace a Technical Interview
jacobian
271
22k
Fontdeck: Realign not Redesign
paulrobertlloyd
74
4.5k
4 Signs Your Business is Dying
shpigford
171
20k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
9
5.3k
Writing Fast Ruby
sferik
613
58k
Typedesign – Prime Four
hannesfritz
34
1.6k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
16
1.3k
Music & Morning Musume
bryan
37
4.8k
Scaling GitHub
holman
453
140k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
318
19k
Being A Developer After 40
akosma
49
580k
Building an army of robots
kneath
300
41k

Transcript

  1. ੬ऑੑͷ͋ΔJavaScriptϥΠϒϥϦ
    ͷ࢖༻Λ๷͙ʹ͸
    ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձʢୈ14ճʣ
    ฏ໺ ণ࢜(@shisama)

    View Slide

  2. ฏ໺ ণ࢜ / Masashi Hirano
    ɹɹɹɹ Kyoto office
    @shisama_
    @shisama
    Node.js Core Collaborator
    ؔ੢NodeֶԂOrganizer

    View Slide

  3. એ఻
    https://nodejs.connpass.com/event/126358/

    View Slide

  4. Agenda
    • JavaScriptϥΠϒϥϦͷ੬ऑੑࣄ৘
    • ੬ऑੑͷ͋ΔϥΠϒϥϦͷ࢖༻Λ๷͙ʹ͸

    View Slide

  5. JavaScriptϥΠϒϥϦͷ੬ऑੑࣄ৘

    View Slide

  6. JavaScriptͷϥΠϒϥϦࣄ৘
    • Node.js / npmͷొ৔ʹΑΓJavaScriptͷϥΠϒϥϦ͕രൃతʹ
    ૿͑ͨ
    • Node.js΍ϑϩϯτΤϯυͳͲJSͷ։ൃͰ͸ଟ͘ͷϥΠϒϥϦ͕
    ࢖ΘΕ͍ͯΔ

    View Slide

  7. npmʹొ࿥͞Ε͍ͯΔϥΠϒϥϦ͕
    ѹ౗తͳ਺ʹͳ͍ͬͯΔ
    http://www.modulecounts.com/

    View Slide

  8. npmʹొ࿥͞Ε͍ͯΔϥΠϒϥϦ͕
    ҟৗͳ਺ʹͳ͍ͬͯΔ
    http://www.modulecounts.com/
    ਺͕ଟ͍෼ɺ
    ੬ऑੑͷ͋ΔϥΠϒϥϦ΋ଟ͍

    View Slide

  9. JavaScriptϥΠϒϥϦͷ੬ऑੑࣄ৘
    • ਓؾϥΠϒϥϦʹѱҙͷ͋Δίʔυ͕ૠೖ͞ΕΔࣄ݅
    • ESLint (JavaScriptͷ࠷΋ϙϐϡϥʔͳ੩తղੳπʔϧ)ʹѱҙ
    ͷ͋Δίʔυ͕ૠೖ͞Ε͍ͯͨ(2018೥7݄)
    • 1िؒʹ200ສDLͷϥΠϒϥϦevent-streamʹԾ૝௨՟΢Υ
    Ϩοτ͔Β҉߸伴Λ౪Έग़͢ػೳ͕ૠೖ͞ΕΔ(2018೥11݄)

    View Slide

  10. JavaScriptϥΠϒϥϦͷ੬ऑੑࣄ৘
    • ੈքͷτοϓ75,000ͷWebαΠτ(Alexaௐ΂)ͷ্Ґ37%͕Կ͔͠Βͷ
    ੬ऑੑͷ͋ΔJSϥΠϒϥϦΛ࢖༻
    • ϊʔεΠʔελϯେֶͷݚڀνʔϜʹΑΔௐࠪ݁Ռ(2017೥)
    • ݹ͍ϥΠϒϥϦΛ࢖༻͍ͯ͠Δ
    • ޿ࠂ΍τϥοΩϯάɺιʔγϟϧϝσΟΞͷ΢ΟδΣοτʹຒΊࠐ·
    Ε͍ͯΔ͜ͱ͕ଟ͍

    View Slide

  11. ੬ऑੑͷ͋ΔϥΠϒϥϦͷ࢖༻Λ๷͙ʹ͸

    View Slide

  12. npmͷηΩϡϦςΟ΁ͷऔΓ૊Έ
    • npmjs.comʹ֤ͯϥΠϒϥϦͷ੬ऑੑใࠂ͕Ͱ͖ΔΑ͏ʹͳ͍ͬͯΔ
    • npm v6͔Βnpm auditίϚϯυ͕௥Ճ͞Ε͍ͯΔ
    • ϓϩδΣΫτ಺ʹΠϯετʔϧͨ͠ϥΠϒϥϦͷ੬ऑੑΛνΣοΫ
    • ϥΠϒϥϦͷΠϯετʔϧ࣌ʹ΋࣮ߦ͞ΕΔ

    View Slide

  13. https://www.npmjs.com/package/typescript
    ֤ϥΠϒϥϦͰ੬ऑੑΛใࠂՄೳ

    View Slide

  14. npm auditΛ࣮ߦ͢ΔͱΠϯετʔϧͨ͠
    ϥΠϒϥϦͷ੬ऑੑΛݕग़ͯ͘͠ΕΔ

    View Slide

  15. npm auditΛ࢖͏
    • CIͰ࣮ߦ͢Δ͜ͱͰ੬ऑੑͷ͋ΔϥΠϒϥϦͷσϓϩΠΛ๷͙
    • IBM/audit-ciͱ͍͏ϥΠϒϥϦΛ࢖͑͹੬ऑੑͷϨϕϧʹԠ͡
    ͨݕग़Λߦ͑Δ
    • npm audit fixίϚϯυͰ੬ऑੑͷ͋ΔϥΠϒϥϦΛࣗಈमਖ਼

    View Slide

  16. npm audit fixΛ࣮ߦ͢Δͱ੬ऑੑ͕मਖ਼͞Εͨ
    όʔδϣϯͷϥΠϒϥϦΛΠϯετʔϧ͢Δ

    View Slide

  17. npm auditͰ͸
    node security projectʹใࠂ͞Ε͍ͯͳ͍
    ੬ऑੑ͸ݕग़Ͱ͖ͳ͍

    View Slide

  18. https://retirejs.github.io/retire.js/

    View Slide

  19. Retire.jsΛ࢖͏
    • CVE΍HackerOne΁ͷใࠂΛجʹ੬ऑੑΛݕग़͢Δπʔϧ
    • ίϚϯυϥΠϯ͚ͩͰͳ͘ɺChrome΍Firefoxͷ֦ுػೳ΋͋Δ
    • unpkg.comͳͲCDN͔ΒಡΈࠐΜͰ͍ΔϥΠϒϥϦ΋֬ೝ͢
    Δ͜ͱ͕Ͱ͖Δ
    • ͋ΒΏΔWebϖʔδͷ੬ऑੑΛ֬ೝ͢Δ͜ͱ͕Ͱ͖Δ

    View Slide

  20. Retire.jsͷChrome ExtensionͰ
    WikipediaΛνΣοΫ
    (աڈͷΩϟϓνϟͰࠓ͸طʹमਖ਼ࡁ)

    View Slide

  21. https://snyk.io/

    View Slide

  22. SnykΛ࢖͏
    • CVEͷσʔλΛجʹ੬ऑੑͷ͋ΔϥΠϒϥϦΛνΣοΫ͢Δαʔ
    Ϗε
    • ༷ʑͳݴޠʹରԠ͍ͯ͠Δ
    • ੬ऑੑΛमਖ਼͢ΔPull RequestΛࣗಈੜ੒
    • OSS͸ແྉͰ࢖͑Δ

    View Slide

  23. https://snyk.io/vuln

    View Slide

  24. ·ͱΊ
    • JavaScript͸ϥΠϒϥϦ͕๛෋͕ͩ੬ऑੑͷ͋ΔϥΠϒϥϦ΋ଟ
    ͍
    • ੬ऑੑͷݕग़΍म෮͸πʔϧͰߦ͑Δ

    View Slide

  25. ͝੩ௌ͋Γ͕ͱ͏͍͟͝·ͨ͠

    View Slide