Upgrade to Pro — share decks privately, control downloads, hide ads and more …

pnpm に provenance のダウングレード を検出する PR を出してみた

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for mattsuu mattsuu
October 23, 2025
Programming
340
1

pnpm に provenance のダウングレード を検出する PR を出してみた

Nihonbashi.js #10 (2025/10/23) での発表資料
https://nihonbashi-js.connpass.com/event/371133/

Avatar for mattsuu

mattsuu

October 23, 2025

More Decks by mattsuu

See All by mattsuu
CSS Linter の現在地 2025年のベストプラクティスを探る
Avatar for mattsuu ryo_manba
12
4.2k
CSS Linter による Baseline サポートの仕組み
Avatar for mattsuu ryo_manba
1
390
React Aria で実現する次世代のアクセシビリティ
Avatar for mattsuu ryo_manba
5
3.2k
5分で分かる React Aria の 良いところ・これからなところ
Avatar for mattsuu ryo_manba
5
6.9k
アクセシブルなインクリメンタルサーチを作ってみた
Avatar for mattsuu ryo_manba
2
600
Next.js の fetch 拡張とキャッシュ機構の違いを理解する
Avatar for mattsuu ryo_manba
6
1.9k
React Spectrum Libraries によるアクセシブルなUIの構築
Avatar for mattsuu ryo_manba
0
4.5k

Other Decks in Programming

See All in Programming
車輪の再発明をしよう!PHP で実装して学ぶ、Web サーバーの仕組みと HTTP の正体
Avatar for H1R0 h1r0
3
510
PHPで TLSのプロトコルを実装してみるをもう一度しゃべりたい
Avatar for higaki higaki_program
0
180
Migration to Signals, Signal Forms, Resource API, and NgRx Signal Store @Angular Days 03/2026 Munich
Avatar for Manfred Steyer manfredsteyer
PRO
0
240
AIと共にエンジニアとPMの “二刀流”を実現する
Avatar for Naruo Yoshiki naruogram
0
130
夢の無限スパゲッティ製造機 -実装篇- #phpstudy
Avatar for hideki kinjyo o0h
PRO
0
200
Running Swift without an OS
Avatar for Kishikawa Katsumi kishikawakatsumi
0
380
Smarter Angular mit Transformers.js & Prompt API
Avatar for Christian Liebel christianliebel
PRO
1
120
メッセージングを利用して時間的結合を分離しよう #phperkaigi
Avatar for Takuma Kajikawa kajitack
3
560
[PHPerKaigi 2026]PHPerKaigi2025の企画CodeGolfが最高すぎて社内で内製して半年運営して得た内製と運営の知見
Avatar for Z.O.E. ikezoemakoto
0
340
「速くなった気がする」をデータで疑う
Avatar for Leaf senleaf24
0
150
年間50登壇、単著出版、雑誌寄稿、Podcast出演、YouTube、CM、カンファレンス主催……全部やってみたので面白さ等を比較してみよう / I’ve tried them all, so let’s compare how interesting they are.
Avatar for nrs nrslib
4
720
Codex CLI でつくる、Issue から merge までの開発フロー
Avatar for amata1219 amata1219
0
330

Featured

See All Featured
The innovator’s Mindset - 
Leading Through an Era of Exponential Change - McGill University 2025
Avatar for Jean-Marc De Jonghe jdejongh
PRO
1
150
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
Avatar for Umar Saidu Auna auna
0
110
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
141
35k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
515
110k
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
Avatar for Szymon Słowik szymonslowik
1
1k
Ruling the World: When Life Gets Gamed
Avatar for Sebastian Deterding codingconduct
0
190
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
370
20k
Lightning talk: Run Django tests with GitHub Actions
Avatar for Sarah Abderemane sabderemane
0
160
What’s in a name? Adding method to the madness
Avatar for The Alliance productmarketing
PRO
24
4k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
61
9.8k
Kristin Tynski - Automating Marketing Tasks With AI
Avatar for Tech SEO Connect techseoconnect
PRO
0
220
Tell your own story through comics
Avatar for letsgokoyo letsgokoyo
1
890

Transcript

  1. pnpm に provenance のダウングレード を検出する PR を出してみた まっつー / @ryo_manba

    2025/10/23 Nihonbashi.js #10

  2. 自己紹介 まっつー SFL にハマってる 𝕏: @ryo_manba GitHub: @ryo-manba 2

  3. 最近の npm へのサプライチェーン攻撃 2025 年 7~9 月に相次いで発生 著名な OSS メンテナーに対するメールによるフィッシング攻撃

    PR title の validation を悪用した攻撃 3

  4. パッケージマネージャ側の対策 pnpm がインストールを遅延させる機能を導入 # pnpm-workspace.yaml minimumReleaseAge: 1440 # 1 日(分単位)

    yarn, bun も同様の機能を追加した 4

  5. npm 側の対応 Trusted Publishing が 2025 年7 月31 日に公開 5

  6. Trusted Publishing NPM_TOKEN なしで OIDC 経由で CI から publish する仕組み

    トークン漏洩のリスク低減 Provenance が自動生成される 6

  7. Provenance どのソースを・どの手順で・どのCI で作られたかを検証可能に 7

  8. Provenance のダウングレードによる問題の検知 8

  9. pnpm にダウングレードを検知する PR を出した 9

  10. pnpm update 時にダウングレードを検出 Trusted Publishing → Provenance Trusted Publishing →

    none Provenance → none 上記のパターンを検出して警告を出す 10

  11. 実装の仕組み: npm のメタデータから情報を取得 { "dist": { "attestations": { "provenance": {...}

    } }, "_npmUser": { "trustedPublisher": {...} } } 新旧のメタデータを比較してダウングレードを検出 11

  12. 課題: 著名なライブラリでもほとんどが Provenance 未対応(8,627/9,505 ) ref: https://github.com/sxzz/npm-top-provenance 12

  13. 今後の展望 Trusted Publishing + Provenance が主流に 今回のインシデントで導入が進みそう ライブラリ選定の新たな指標になる可能性 pnpm にマージされなかったら...

    taze や danielroe/provenance-action を使うと良いです 13