脆弱性のあるJavaScriptライブラリの使用を防ぐには / #sec_kansai 14

੬ऑੑͷ͋ΔJavaScriptϥΠϒϥϦ ͷ࢖༻Λ๷͙ʹ͸ ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձʢୈ14ճʣ ฏ໺ ণ࢜(@shisama)

ฏ໺ ণ࢜ / Masashi Hirano ɹɹɹɹ Kyoto ofﬁce @shisama_ @shisama
Node.js Core Collaborator ؔ੢NodeֶԂOrganizer

એ఻ https://nodejs.connpass.com/event/126358/

Agenda • JavaScriptϥΠϒϥϦͷ੬ऑੑࣄ৘ • ੬ऑੑͷ͋ΔϥΠϒϥϦͷ࢖༻Λ๷͙ʹ͸

JavaScriptϥΠϒϥϦͷ੬ऑੑࣄ৘

JavaScriptͷϥΠϒϥϦࣄ৘ • Node.js / npmͷొ৔ʹΑΓJavaScriptͷϥΠϒϥϦ͕രൃతʹ ૿͑ͨ • Node.js΍ϑϩϯτΤϯυͳͲJSͷ։ൃͰ͸ଟ͘ͷϥΠϒϥϦ͕ ࢖ΘΕ͍ͯΔ

npmʹొ࿥͞Ε͍ͯΔϥΠϒϥϦ͕ ѹ౗తͳ਺ʹͳ͍ͬͯΔ http://www.modulecounts.com/

npmʹొ࿥͞Ε͍ͯΔϥΠϒϥϦ͕ ҟৗͳ਺ʹͳ͍ͬͯΔ http://www.modulecounts.com/ ਺͕ଟ͍෼ɺ ੬ऑੑͷ͋ΔϥΠϒϥϦ΋ଟ͍

JavaScriptϥΠϒϥϦͷ੬ऑੑࣄ৘ • ਓؾϥΠϒϥϦʹѱҙͷ͋Δίʔυ͕ૠೖ͞ΕΔࣄ݅ • ESLint (JavaScriptͷ࠷΋ϙϐϡϥʔͳ੩తղੳπʔϧ)ʹѱҙ ͷ͋Δίʔυ͕ૠೖ͞Ε͍ͯͨ(2018೥7݄) • 1िؒʹ200ສDLͷϥΠϒϥϦevent-streamʹԾ૝௨՟΢Υ Ϩοτ͔Β҉߸伴Λ౪Έग़͢ػೳ͕ૠೖ͞ΕΔ(2018೥11݄)

JavaScriptϥΠϒϥϦͷ੬ऑੑࣄ৘ • ੈքͷτοϓ75,000ͷWebαΠτ(Alexaௐ΂)ͷ্Ґ37%͕Կ͔͠Βͷ ੬ऑੑͷ͋ΔJSϥΠϒϥϦΛ࢖༻ • ϊʔεΠʔελϯେֶͷݚڀνʔϜʹΑΔௐࠪ݁Ռ(2017೥) • ݹ͍ϥΠϒϥϦΛ࢖༻͍ͯ͠Δ • ޿ࠂ΍τϥοΩϯάɺιʔγϟϧϝσΟΞͷ΢ΟδΣοτʹຒΊࠐ·
Ε͍ͯΔ͜ͱ͕ଟ͍

੬ऑੑͷ͋ΔϥΠϒϥϦͷ࢖༻Λ๷͙ʹ͸

npmͷηΩϡϦςΟ΁ͷऔΓ૊Έ • npmjs.comʹ֤ͯϥΠϒϥϦͷ੬ऑੑใࠂ͕Ͱ͖ΔΑ͏ʹͳ͍ͬͯΔ • npm v6͔Βnpm auditίϚϯυ͕௥Ճ͞Ε͍ͯΔ • ϓϩδΣΫτ಺ʹΠϯετʔϧͨ͠ϥΠϒϥϦͷ੬ऑੑΛνΣοΫ •
ϥΠϒϥϦͷΠϯετʔϧ࣌ʹ΋࣮ߦ͞ΕΔ

https://www.npmjs.com/package/typescript ֤ϥΠϒϥϦͰ੬ऑੑΛใࠂՄೳ

npm auditΛ࣮ߦ͢ΔͱΠϯετʔϧͨ͠ ϥΠϒϥϦͷ੬ऑੑΛݕग़ͯ͘͠ΕΔ

npm auditΛ࢖͏ • CIͰ࣮ߦ͢Δ͜ͱͰ੬ऑੑͷ͋ΔϥΠϒϥϦͷσϓϩΠΛ๷͙ • IBM/audit-ciͱ͍͏ϥΠϒϥϦΛ࢖͑͹੬ऑੑͷϨϕϧʹԠ͡ ͨݕग़Λߦ͑Δ • npm audit
ﬁxίϚϯυͰ੬ऑੑͷ͋ΔϥΠϒϥϦΛࣗಈमਖ਼

npm audit ﬁxΛ࣮ߦ͢Δͱ੬ऑੑ͕मਖ਼͞Εͨ όʔδϣϯͷϥΠϒϥϦΛΠϯετʔϧ͢Δ

npm auditͰ͸ node security projectʹใࠂ͞Ε͍ͯͳ͍ ੬ऑੑ͸ݕग़Ͱ͖ͳ͍

https://retirejs.github.io/retire.js/

Retire.jsΛ࢖͏ • CVE΍HackerOne΁ͷใࠂΛجʹ੬ऑੑΛݕग़͢Δπʔϧ • ίϚϯυϥΠϯ͚ͩͰͳ͘ɺChrome΍Firefoxͷ֦ுػೳ΋͋Δ • unpkg.comͳͲCDN͔ΒಡΈࠐΜͰ͍ΔϥΠϒϥϦ΋֬ೝ͢ Δ͜ͱ͕Ͱ͖Δ • ͋ΒΏΔWebϖʔδͷ੬ऑੑΛ֬ೝ͢Δ͜ͱ͕Ͱ͖Δ

Retire.jsͷChrome ExtensionͰ WikipediaΛνΣοΫ (աڈͷΩϟϓνϟͰࠓ͸طʹमਖ਼ࡁ)

https://snyk.io/

SnykΛ࢖͏ • CVEͷσʔλΛجʹ੬ऑੑͷ͋ΔϥΠϒϥϦΛνΣοΫ͢Δαʔ Ϗε • ༷ʑͳݴޠʹରԠ͍ͯ͠Δ • ੬ऑੑΛमਖ਼͢ΔPull RequestΛࣗಈੜ੒ •
OSS͸ແྉͰ࢖͑Δ

https://snyk.io/vuln

·ͱΊ • JavaScript͸ϥΠϒϥϦ͕๛෋͕ͩ੬ऑੑͷ͋ΔϥΠϒϥϦ΋ଟ ͍ • ੬ऑੑͷݕग़΍म෮͸πʔϧͰߦ͑Δ

͝੩ௌ͋Γ͕ͱ͏͍͟͝·ͨ͠

脆弱性のあるJavaScriptライブラリの使用を防ぐには / #sec_kansai 14

脆弱性のあるJavaScriptライブラリの使用を防ぐには / #sec_kansai 14

Masashi Hirano

More Decks by Masashi Hirano

Other Decks in Programming

Featured

Transcript

੬ऑੑͷ͋ΔJavaScriptϥΠϒϥϦ ͷ࢖༻Λ๷͙ʹ͸ ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձʢୈ14ճʣ ฏ໺ ণ࢜(@shisama)

ฏ໺ ণ࢜ / Masashi Hirano ɹɹɹɹ Kyoto ofﬁce @shisama_ @shisama

એ఻ https://nodejs.connpass.com/event/126358/

Agenda • JavaScriptϥΠϒϥϦͷ੬ऑੑࣄ৘ • ੬ऑੑͷ͋ΔϥΠϒϥϦͷ࢖༻Λ๷͙ʹ͸

JavaScriptϥΠϒϥϦͷ੬ऑੑࣄ৘

JavaScriptͷϥΠϒϥϦࣄ৘ • Node.js / npmͷొ৔ʹΑΓJavaScriptͷϥΠϒϥϦ͕രൃతʹ ૿͑ͨ • Node.js΍ϑϩϯτΤϯυͳͲJSͷ։ൃͰ͸ଟ͘ͷϥΠϒϥϦ͕ ࢖ΘΕ͍ͯΔ

npmʹొ࿥͞Ε͍ͯΔϥΠϒϥϦ͕ ѹ౗తͳ਺ʹͳ͍ͬͯΔ http://www.modulecounts.com/

npmʹొ࿥͞Ε͍ͯΔϥΠϒϥϦ͕ ҟৗͳ਺ʹͳ͍ͬͯΔ http://www.modulecounts.com/ ਺͕ଟ͍෼ɺ ੬ऑੑͷ͋ΔϥΠϒϥϦ΋ଟ͍

੬ऑੑͷ͋ΔϥΠϒϥϦͷ࢖༻Λ๷͙ʹ͸

npmͷηΩϡϦςΟ΁ͷऔΓ૊Έ • npmjs.comʹ֤ͯϥΠϒϥϦͷ੬ऑੑใࠂ͕Ͱ͖ΔΑ͏ʹͳ͍ͬͯΔ • npm v6͔Βnpm auditίϚϯυ͕௥Ճ͞Ε͍ͯΔ • ϓϩδΣΫτ಺ʹΠϯετʔϧͨ͠ϥΠϒϥϦͷ੬ऑੑΛνΣοΫ •

https://www.npmjs.com/package/typescript ֤ϥΠϒϥϦͰ੬ऑੑΛใࠂՄೳ

npm auditΛ࣮ߦ͢ΔͱΠϯετʔϧͨ͠ ϥΠϒϥϦͷ੬ऑੑΛݕग़ͯ͘͠ΕΔ

npm auditΛ࢖͏ • CIͰ࣮ߦ͢Δ͜ͱͰ੬ऑੑͷ͋ΔϥΠϒϥϦͷσϓϩΠΛ๷͙ • IBM/audit-ciͱ͍͏ϥΠϒϥϦΛ࢖͑͹੬ऑੑͷϨϕϧʹԠ͡ ͨݕग़Λߦ͑Δ • npm audit

npm audit ﬁxΛ࣮ߦ͢Δͱ੬ऑੑ͕मਖ਼͞Εͨ όʔδϣϯͷϥΠϒϥϦΛΠϯετʔϧ͢Δ

npm auditͰ͸ node security projectʹใࠂ͞Ε͍ͯͳ͍ ੬ऑੑ͸ݕग़Ͱ͖ͳ͍

https://retirejs.github.io/retire.js/

Retire.jsΛ࢖͏ • CVE΍HackerOne΁ͷใࠂΛجʹ੬ऑੑΛݕग़͢Δπʔϧ • ίϚϯυϥΠϯ͚ͩͰͳ͘ɺChrome΍Firefoxͷ֦ுػೳ΋͋Δ • unpkg.comͳͲCDN͔ΒಡΈࠐΜͰ͍ΔϥΠϒϥϦ΋֬ೝ͢ Δ͜ͱ͕Ͱ͖Δ • ͋ΒΏΔWebϖʔδͷ੬ऑੑΛ֬ೝ͢Δ͜ͱ͕Ͱ͖Δ

Retire.jsͷChrome ExtensionͰ WikipediaΛνΣοΫ (աڈͷΩϟϓνϟͰࠓ͸طʹमਖ਼ࡁ)

https://snyk.io/

SnykΛ࢖͏ • CVEͷσʔλΛجʹ੬ऑੑͷ͋ΔϥΠϒϥϦΛνΣοΫ͢Δαʔ Ϗε • ༷ʑͳݴޠʹରԠ͍ͯ͠Δ • ੬ऑੑΛमਖ਼͢ΔPull RequestΛࣗಈੜ੒ •

https://snyk.io/vuln

·ͱΊ • JavaScript͸ϥΠϒϥϦ͕๛෋͕ͩ੬ऑੑͷ͋ΔϥΠϒϥϦ΋ଟ ͍ • ੬ऑੑͷݕग़΍म෮͸πʔϧͰߦ͑Δ

͝੩ௌ͋Γ͕ͱ͏͍͟͝·ͨ͠