Provenance in JSR

Transcript

1. Author: @progfay Provenance in Node学園 44時限 目

2. Name: 眞野 隼 輔 ま の しゅんすけ   @progfay

   ɾWeb Frontend Engineer ɾBrowser पΓͷಈ޲Λ௥͏ͷ͕झຯ ・ 最近は謎解きにハマっている (CTF 気分)

3. ・ JSR の Provenance という機能を使ってみたので共有 ・ その中で得られた知識について ・ 嬉しそうなところ ・

   イケてなさそうなところ 話すこと
4. None

5. ・ せっかく作った package なので、いろんな実験をしてる ・ ESLint → Biome に移 行

   してみたり ・ 脆弱性を 見 つけて CVE を発 行 してみたり ・ Jest → Vitest → Node.js Test Runner に移 行 してみたり @progfay/scrapbox-parser
6. None
7. None
8. None
9. None

10. そもそも Provenance ってなんだ？

11. https://eow.alc.co.jp/search?q=provenance

12. https://jsr.io/docs/trust 元となったソースコード と publisher を検証できるようにする

13. ・ transparency log が表 示 できる ・ publish process が

    自 動化される ・ token などの漏洩の危険性が減らせる ・ 実際には GHA から publish することのメリット ・ でも 自 動化のモチベーションになるのは喜ばしい package 開発者は何が嬉しい？

14. ・ package の安全性を検証できる ・ Provenance 自 体は安全性を保証してくれるわけではない ・ 開発側が適切に package

    を publish する必要がある ・ 悪意のあるコードが混 入 しづらくなる ・ サプライチェーン攻撃などに 一 定の効果があるはず package 利 用 者は何が嬉しい？

15. やってみるか！

16. 1 . `jsr.json` を作成する 2 . JSR package と GitHub

    Repository を link する 3 . GitHub Actions Workflow を追加する 4 . Workflow を trigger する Publish to JSR
17. None

18. OIDC により access token の設定が不要 デフォルトで Provenance される！

19. None
20. None

21. ついでに npm も

22. npm では access token の設定が必要

23. None

24. ・ access token を管理する必要がない ・ 発 行 する必要すらないので、漏洩のリスクを減らすことができる ・ GitHub

    Actions を利 用 していれば Provenance される ・ Provenance を知らなくても勝 手 にやってくれるのは嬉しい JSR Provenance の良いところ

25. ・ npm は GitHub Actions 以外でも Provenance ができる ・ GitLab

    なら `--provenance` をつけるだけ ・ その他でも `--provenanceFile` を使えばできるっぽい？ npm Provenance の良いところ

26. ・ 思ったより簡単にできた ・ Package の評価指標の 1 つにもなりそう ・ Provenance がされているか

    ・ リリース 手 順がどうなっているか 使ってみた感想