Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
個人開発でセキュリティを意識して見ようの会
Search
saitojo1106
July 05, 2026
390
3
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
個人開発でセキュリティを意識して見ようの会
saitojo1106
July 05, 2026
Featured
See All Featured
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.5k
Designing Experiences People Love
moore
143
24k
Design in an AI World
tapps
1
250
Why You Should Never Use an ORM
jnunemaker
PRO
61
9.9k
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
akihiro_kokubo
PRO
72
40k
Unlocking the hidden potential of vector embeddings in international SEO
frankvandijk
0
860
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
rkaga
62
44k
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
400
Done Done
chrislema
186
16k
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
350
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
helenjbeal
1
250
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
techseoconnect
PRO
0
190
Transcript
個人開発でセキュリティを意識してみ ようの会 (※今回は選定のみ )
自己紹介 齋藤 丈(@mukimuki_js) • とある企業で内定者インターン中 • 27卒・B4 • TS,Go,(Flutter) •
読書,筋トレ,勉強会 • デザインやセキュリティに興味あり ※セキュリティ専門家じゃ無いですw
今日持ち帰って欲しいこと • セキュリティツールの選定方法 • 開発におけるセキュリティ脅威 • 個人利用無料のセキュリティツール
背景 • 最近はかなり物騒になってきてい る ◦ ソフトウェアサプライチェーン攻撃 ◦ Actions侵害
個人的気になったきっかけ • GMO Flatt Security ◦ ツイート(米内CTO) ◦ ブログ ◦
Youtube 対応早すぎて神↓
ソフトウェアサプライチェーン攻撃とは pkg汚染 • OSSメンテナアカウント乗っ取りで悪性バージョンの公 開されnpm installしてしまうと認証情報なり色々盗ま れちゃう(axiosの例) GithubActions( ビルドやテスト、デプロイなどを行う基盤 )
• Actionsで使っているビルドパッケージなどの汚染によ り、それの利用者のコードをビルドなど実行中に secretsや様々なキーを窃取されてしまう
ソフトウェアサプライチェーンとは (※素人の理解です ) ユーザが開発で使っている外部サービス汚染 ↓ 汚染サービス実行/install ↓ 端末が遠隔操作、認証情報窃取 ↓ 会社情報抜き取られ、次のリポジトリ、ユーザに攻撃
って感じでチェーンのようにつながっていく攻撃
課題 • 開発においてOSSなど依存しまくりなはず ◦ 自分だとフロントエンド開発でaxios,tanstack query,React hook form,zod,Orval…… バックエンドだとogen,sqlc,マジでキリない… ◦
拡張機能もあるけどここだと割愛 • AI駆動開発(ソースはないです個人の意見多めかも) ◦ 勝手に色々pkgをinstallして依存を増やしていくが確認ができない/遅れる ◦ 今回は少し関係ないけど脆弱性のあるコードを書いたり、キー露出もある ◦ 開発速度が上がったが、レビューは誰が?ツールに頼りたくない?
目的:対策スコープ サプライチェーン攻撃に絞り、個人開発無料で使えるツール、サービスを調 べて選定していく、他にも自分でできる対策も調査する👀 ※選定基準は今回は自分のプロジェクトに絞っているので全部カバーはできないかもです 🙏 ※React,TypeScript,Go,GCP,あたりを使うことを想定してます 😭
サクッとできそうなものを調査してみる 参考資 料:https://speakerdeck.com/flatt_security/quick-actions-you-can-ta ke-today-against-software-supply-chain-attacks?slide=8
SaaS • Takumi Guard ◦ 悪性パッケージをインストール前にブロック (TS/JS,Go,Python,Ruby………) • Socket ◦
PRで依存追加変更のたびに分析してくれて、分析結果を 出してくれる ◦ 他にもvscode拡張、Firewall(Takumiと同じ)まであるそう (無料版はGo未対応)
(自分でできる設定 ) • レジストリ(pkgの倉庫)にクールダウン設定 ◦ 7日間が推奨らしい ◦ .npmrcに追記→ignore-scripts=trueとmin-release-age=7でマルウェア実行と公開直後のパッケージ回避 • pkgバージョン固定(.lockファイル)
• Githubのdependabotでのクールダウン設定もできる (CICDの保護)
実践する際 • 外部SaaS:Takumi Guardを使用 • 自分でできる設定 ◦ Githubのdependabot ◦ バージョン固定
◦ パッケージのクールダウン指定
参考資料 • https://speakerdeck.com/flatt_security/quick-actions-you-can-take-today-against-software-suppl y-chain-attacks • https://flatt.tech/takumi/features/guard • https://blog.yossarian.net/2025/11/21/We-should-all-be-using-dependency-cooldowns • https://qiita.com/masato_makino/items/516ca6f8a8b497131602
•