Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
アーティファクト管理で サプライチェーン攻撃を回避!!
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Shigeki Shoji
April 30, 2026
92
0
Share
アーティファクト管理で サプライチェーン攻撃を回避!!
2026-04-30
KanJava (関ジャバ)
Shigeki Shoji
April 30, 2026
More Decks by Shigeki Shoji
See All by Shigeki Shoji
2025-12-19-LT
takesection
0
140
2025-12-11 nakanoshima.dev LT
takesection
0
150
アジャイルテストで高品質のスプリントレビューを
takesection
0
210
Introduction to kanjava
takesection
0
130
LT Slide 2025-04-22
takesection
0
210
Instructional Designer
takesection
0
180
Zero to Hero
takesection
0
270
Fargateを使った研修の話
takesection
0
390
20240730_kanjava.pdf
takesection
0
200
Featured
See All Featured
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
210
Navigating Algorithm Shifts & AI Overviews - #SMXNext
aleyda
1
1.2k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.4k
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
techseoconnect
PRO
0
140
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
55
3.3k
Prompt Engineering for Job Search
mfonobong
0
300
Neural Spatial Audio Processing for Sound Field Analysis and Control
skoyamalab
0
290
Done Done
chrislema
186
16k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
659
62k
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
rkaga
61
44k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.6k
Leveraging LLMs for student feedback in introductory data science courses - posit::conf(2025)
minecr
1
250
Transcript
アーティファクト管理で サプライチェーン攻撃を回避!! 2026年04月30日 Shigeki Shoji
庄司重樹 アジャイルコーチ / ICTインストラクター 熊本大学大学院 教授システム学専攻 博士前期課程
サプライチェーン攻撃からの防御 • アーティファクト管理ツールの活用 • 仮想開発環境の活用 3
歴史 4
5 https://www.gnu.org/software/software.html
Maven Central • https://repo.maven.apache.org/maven2/ • https://central.sonatype.com/ 6
Maven Centralのセキュリティ • コード署名が必須(公開鍵方式) • コード署名は秘密鍵を使用して署名(GPGを使用) • 公開鍵はキーサーバーにアップロード • 以前はMITのキーサーバーが主要なアップロード先
• 現在は、keyserver.ubuntu.com、keys.openpgp.org、pgp.mit.eduがサポート対 象で、ubuntuが推奨される 7
JCenter • JFrog社が運用していたが、2021年に新規パッケージの受付を 停止し、2024年8月15日にシャットダウン 8
npm、PyPI • タイポスクワッティング • スクリプト自動実行の仕組み • npm install、pip install 時に任意のスクリプトを自動実行する仕組み
がある。 ネイティブライブラリのコンパイルなどのために用意されたもの 9
npmの場合 • インストール時にスクリプト実行されないようにするか、 pnpmのようなサプライチェーン攻撃に対して独自の機能を持 つツールを利用する 10
PyPIの場合 • pip install --only-binary :all: <package> を使用してインス トール時のスクリプト実行を防ぐ •
pip install 時にインハウスリポジトリのみを参照するように、- -index-url を使用する 11
脆弱性の確認 12
ソフトウェア部品表(SBOM) 13
アーティファクト管理ツール 14
アーティファクト管理ツール • sonatype社Nexus Repository • https://www.sonatype.com/products/sonatype-nexus-repository • JFrog社Artifactory • https://jfrog.com/artifactory/
15
特徴 機能 Sonatype Nexus JFrog Artifactory S3サポート OSS版/Pro版ともに対応 Pro版以上で対応 直接DL機能
Pro版で対応 対応(設定により有効化) 16
Sonatype Repository Firewall https://www.sonatype.com/products/sonatype-repository- firewall 18
仮想開発環境 19
仮想環境を使用する利点 • 仮想環境にはアプリケーション構築に必要なツールチェーンの みをインストール • ビルドに必要な情報のみを保持する • デプロイ先の情報等も含めないことで、内部の情報を抜き取ら れても影響がない 20
dev container • https://containers.dev/ • Dev Container(開発コンテナ)の仕組みは、2019年にVS Codeの拡 張機能として登場したのが始まり •
「Development Container Specification」は特定のツールに依存しな い仕様 • JetBrains社のIntelliJ IDEA等で使用可能 21
code server等の活用 • クラウド環境を使用して、開発環境のネットワークを隔離でき る • AWSのVPCやセキュリティグループの利用 22
code server 23
24
サプライチェーン攻撃 25
攻撃者は常に隙を探している • 今日のソフトウェアは大きなエコシステムの中で構築される • あらゆるパッケージはインターネットを使用してダウンロード • 主要なパッケージマネージャへの過度な信頼 • yumやaptでどこからダウンロードされるか意識していますか? •
npm、pipでどこからダウンロードされるか意識していますか? • dockerイメージがどこからダウンロードされるか意識していますか? 26
27 ありがとうございました
takesection
nikkihalliwell
aleyda
kevinliebholz
techseoconnect
tammyeverts
mfonobong
skoyamalab
chrislema
lemiorhan
rkaga
minecr
