Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
アーティファクト管理で サプライチェーン攻撃を回避!!
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Shigeki Shoji
April 30, 2026
110
0
Share
アーティファクト管理で サプライチェーン攻撃を回避!!
2026-04-30
KanJava (関ジャバ)
Shigeki Shoji
April 30, 2026
More Decks by Shigeki Shoji
See All by Shigeki Shoji
OpenID Connectによるサービス間連携
takesection
0
150
2025-12-19-LT
takesection
0
150
2025-12-11 nakanoshima.dev LT
takesection
0
160
アジャイルテストで高品質のスプリントレビューを
takesection
0
220
Introduction to kanjava
takesection
0
140
LT Slide 2025-04-22
takesection
0
220
Instructional Designer
takesection
0
190
Zero to Hero
takesection
0
270
Fargateを使った研修の話
takesection
0
400
Featured
See All Featured
RailsConf 2023
tenderlove
30
1.5k
BBQ
matthewcrist
89
10k
Leveraging Curiosity to Care for An Aging Population
cassininazir
1
260
The Illustrated Guide to Node.js - THAT Conference 2024
reverentgeek
1
370
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
320
Tell your own story through comics
letsgokoyo
1
940
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
The Mindset for Success: Future Career Progression
greggifford
PRO
0
350
Introduction to Domain-Driven Design and Collaborative software design
baasie
1
810
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
11
930
Large-scale JavaScript Application Architecture
addyosmani
515
110k
Imperfection Machines: The Place of Print at Facebook
scottboms
270
14k
Transcript
アーティファクト管理で サプライチェーン攻撃を回避!! 2026年04月30日 Shigeki Shoji
庄司重樹 アジャイルコーチ / ICTインストラクター 熊本大学大学院 教授システム学専攻 博士前期課程
サプライチェーン攻撃からの防御 • アーティファクト管理ツールの活用 • 仮想開発環境の活用 3
歴史 4
5 https://www.gnu.org/software/software.html
Maven Central • https://repo.maven.apache.org/maven2/ • https://central.sonatype.com/ 6
Maven Centralのセキュリティ • コード署名が必須(公開鍵方式) • コード署名は秘密鍵を使用して署名(GPGを使用) • 公開鍵はキーサーバーにアップロード • 以前はMITのキーサーバーが主要なアップロード先
• 現在は、keyserver.ubuntu.com、keys.openpgp.org、pgp.mit.eduがサポート対 象で、ubuntuが推奨される 7
JCenter • JFrog社が運用していたが、2021年に新規パッケージの受付を 停止し、2024年8月15日にシャットダウン 8
npm、PyPI • タイポスクワッティング • スクリプト自動実行の仕組み • npm install、pip install 時に任意のスクリプトを自動実行する仕組み
がある。 ネイティブライブラリのコンパイルなどのために用意されたもの 9
npmの場合 • インストール時にスクリプト実行されないようにするか、 pnpmのようなサプライチェーン攻撃に対して独自の機能を持 つツールを利用する 10
PyPIの場合 • pip install --only-binary :all: <package> を使用してインス トール時のスクリプト実行を防ぐ •
pip install 時にインハウスリポジトリのみを参照するように、- -index-url を使用する 11
脆弱性の確認 12
ソフトウェア部品表(SBOM) 13
アーティファクト管理ツール 14
アーティファクト管理ツール • sonatype社Nexus Repository • https://www.sonatype.com/products/sonatype-nexus-repository • JFrog社Artifactory • https://jfrog.com/artifactory/
15
特徴 機能 Sonatype Nexus JFrog Artifactory S3サポート OSS版/Pro版ともに対応 Pro版以上で対応 直接DL機能
Pro版で対応 対応(設定により有効化) 16
Sonatype Repository Firewall https://www.sonatype.com/products/sonatype-repository- firewall 18
仮想開発環境 19
仮想環境を使用する利点 • 仮想環境にはアプリケーション構築に必要なツールチェーンの みをインストール • ビルドに必要な情報のみを保持する • デプロイ先の情報等も含めないことで、内部の情報を抜き取ら れても影響がない 20
dev container • https://containers.dev/ • Dev Container(開発コンテナ)の仕組みは、2019年にVS Codeの拡 張機能として登場したのが始まり •
「Development Container Specification」は特定のツールに依存しな い仕様 • JetBrains社のIntelliJ IDEA等で使用可能 21
code server等の活用 • クラウド環境を使用して、開発環境のネットワークを隔離でき る • AWSのVPCやセキュリティグループの利用 22
code server 23
24
サプライチェーン攻撃 25
攻撃者は常に隙を探している • 今日のソフトウェアは大きなエコシステムの中で構築される • あらゆるパッケージはインターネットを使用してダウンロード • 主要なパッケージマネージャへの過度な信頼 • yumやaptでどこからダウンロードされるか意識していますか? •
npm、pipでどこからダウンロードされるか意識していますか? • dockerイメージがどこからダウンロードされるか意識していますか? 26
27 ありがとうございました
takesection
tenderlove
matthewcrist
cassininazir
reverentgeek
szymonslowik
letsgokoyo
tanoku
greggifford
baasie
tammyeverts
addyosmani
scottboms
