Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Provenance in JSR

Provenance in JSR

Shunsuke Mano

September 27, 2024
Tweet

Other Decks in Programming

Transcript

  1. Name: 眞野 隼 輔 ま の しゅんすけ   @progfay

    ɾWeb Frontend Engineer ɾBrowser पΓͷಈ޲Λ௥͏ͷ͕झຯ ・ 最近は謎解きにハマっている (CTF 気分)
  2. ・ せっかく作った package なので、いろんな実験をしてる ・ ESLint → Biome に移 行

    してみたり ・ 脆弱性を 見 つけて CVE を発 行 してみたり ・ Jest → Vitest → Node.js Test Runner に移 行 してみたり @progfay/scrapbox-parser
  3. ・ transparency log が表 示 できる ・ publish process が

    自 動化される ・ token などの漏洩の危険性が減らせる ・ 実際には GHA から publish することのメリット ・ でも 自 動化のモチベーションになるのは喜ばしい package 開発者は何が嬉しい?
  4. ・ package の安全性を検証できる ・ Provenance 自 体は安全性を保証してくれるわけではない ・ 開発側が適切に package

    を publish する必要がある ・ 悪意のあるコードが混 入 しづらくなる ・ サプライチェーン攻撃などに 一 定の効果があるはず package 利 用 者は何が嬉しい?
  5. 1 . `jsr.json` を作成する 2 . JSR package と GitHub

    Repository を link する 3 . GitHub Actions Workflow を追加する 4 . Workflow を trigger する Publish to JSR
  6. ・ access token を管理する必要がない ・ 発 行 する必要すらないので、漏洩のリスクを減らすことができる ・ GitHub

    Actions を利 用 していれば Provenance される ・ Provenance を知らなくても勝 手 にやってくれるのは嬉しい JSR Provenance の良いところ
  7. ・ npm は GitHub Actions 以外でも Provenance ができる ・ GitLab

    なら `--provenance` をつけるだけ ・ その他でも `--provenanceFile` を使えばできるっぽい? npm Provenance の良いところ