Upgrade to Pro — share decks privately, control downloads, hide ads and more …

pnpm に provenance のダウングレード を検出する PR を出してみた

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for mattsuu mattsuu
October 23, 2025
Programming
370
1

pnpm に provenance のダウングレード を検出する PR を出してみた

Nihonbashi.js #10 (2025/10/23) での発表資料
https://nihonbashi-js.connpass.com/event/371133/

Avatar for mattsuu

mattsuu

October 23, 2025

More Decks by mattsuu

See All by mattsuu
CSS Linter の現在地 2025年のベストプラクティスを探る
Avatar for mattsuu ryo_manba
12
4.4k
CSS Linter による Baseline サポートの仕組み
Avatar for mattsuu ryo_manba
1
410
React Aria で実現する次世代のアクセシビリティ
Avatar for mattsuu ryo_manba
5
3.2k
5分で分かる React Aria の 良いところ・これからなところ
Avatar for mattsuu ryo_manba
5
7k
アクセシブルなインクリメンタルサーチを作ってみた
Avatar for mattsuu ryo_manba
2
620
Next.js の fetch 拡張とキャッシュ機構の違いを理解する
Avatar for mattsuu ryo_manba
6
1.9k
React Spectrum Libraries によるアクセシブルなUIの構築
Avatar for mattsuu ryo_manba
0
4.6k

Other Decks in Programming

See All in Programming
Agentic UI
Avatar for Manfred Steyer manfredsteyer
PRO
0
130
「AIで開発し、AIを届ける」をEvalでつなぐ 〜AIネイティブに始めるプロダクト開発の実践〜 / Connecting "Develop with AI, deliver AI" with Eval
Avatar for r-kagaya rkaga
4
4.9k
フロントエンドとバックエンドで「1文字」を揃えよう
Avatar for てきめん tekimen youkidearitai
PRO
0
250
ローカルLLMを使ってB2Bサービスを作っていての学び
Avatar for Hiroshige Umino yaotti
0
160
net-httpのHTTP/2対応について
Avatar for NARUSE, Yui naruse
0
470
3Dシーンの圧縮
Avatar for Fadis fadis
1
690
Vite+ Unified Toolchain for the Web
Avatar for Naoki Haba naokihaba
0
230
スマートグラスで並列バイブコーディング
Avatar for Hayami Shuhei hyshu
0
120
LLM Plugin for Node-REDの利用方法と開発について
Avatar for 404background 404background
0
170
Datadog × OpenTelemetry 入門と実践のあいだ
Avatar for Max Kento kn_to_maxpno
1
150
気づいたらRubyで100作品 ー クリエイティブコーディングが生活の一部になるまで / 100 Ruby Sketches Later: How Creative Coding Became Part of My Life
Avatar for chobishiba chobishiba
3
560
例外の正しい扱い方 そのエラー try-catchして大丈夫?
Avatar for Watanabe Jin jinwatanabe
0
200

Featured

See All Featured
Tell your own story through comics
Avatar for letsgokoyo letsgokoyo
1
950
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
9
2k
AI in Enterprises - Java and Open Source to the Rescue
Avatar for ivargrimstad ivargrimstad
0
1.3k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
12
1.2k
How to Grow Your eCommerce with AI & Automation
Avatar for Katarina Dahlin katarinadahlin
PRO
1
200
Chasing Engaging Ingredients in Design
Avatar for Sebastian Deterding codingconduct
0
220
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
Avatar for UX Y'all uxyall
0
310
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
82
6.3k
Code Review Best Practice
Avatar for Trisha Gee trishagee
74
20k
Mind Mapping
Avatar for Hélio Medeiros helmedeiros
PRO
1
240
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
Avatar for Helen Beal helenjbeal
1
230
The agentic SEO stack - context over prompts
Avatar for schlessera schlessera
0
800

Transcript

  1. pnpm に provenance のダウングレード を検出する PR を出してみた まっつー / @ryo_manba

    2025/10/23 Nihonbashi.js #10

  2. 自己紹介 まっつー SFL にハマってる 𝕏: @ryo_manba GitHub: @ryo-manba 2

  3. 最近の npm へのサプライチェーン攻撃 2025 年 7~9 月に相次いで発生 著名な OSS メンテナーに対するメールによるフィッシング攻撃

    PR title の validation を悪用した攻撃 3

  4. パッケージマネージャ側の対策 pnpm がインストールを遅延させる機能を導入 # pnpm-workspace.yaml minimumReleaseAge: 1440 # 1 日(分単位)

    yarn, bun も同様の機能を追加した 4

  5. npm 側の対応 Trusted Publishing が 2025 年7 月31 日に公開 5

  6. Trusted Publishing NPM_TOKEN なしで OIDC 経由で CI から publish する仕組み

    トークン漏洩のリスク低減 Provenance が自動生成される 6

  7. Provenance どのソースを・どの手順で・どのCI で作られたかを検証可能に 7

  8. Provenance のダウングレードによる問題の検知 8

  9. pnpm にダウングレードを検知する PR を出した 9

  10. pnpm update 時にダウングレードを検出 Trusted Publishing → Provenance Trusted Publishing →

    none Provenance → none 上記のパターンを検出して警告を出す 10

  11. 実装の仕組み: npm のメタデータから情報を取得 { "dist": { "attestations": { "provenance": {...}

    } }, "_npmUser": { "trustedPublisher": {...} } } 新旧のメタデータを比較してダウングレードを検出 11

  12. 課題: 著名なライブラリでもほとんどが Provenance 未対応(8,627/9,505 ) ref: https://github.com/sxzz/npm-top-provenance 12

  13. 今後の展望 Trusted Publishing + Provenance が主流に 今回のインシデントで導入が進みそう ライブラリ選定の新たな指標になる可能性 pnpm にマージされなかったら...

    taze や danielroe/provenance-action を使うと良いです 13