Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
アーティファクト管理で サプライチェーン攻撃を回避!!
Search
Shigeki Shoji
April 30, 2026
13
0
Share
アーティファクト管理で サプライチェーン攻撃を回避!!
2026-04-30
KanJava (関ジャバ)
Shigeki Shoji
April 30, 2026
More Decks by Shigeki Shoji
See All by Shigeki Shoji
2025-12-19-LT
takesection
0
130
2025-12-11 nakanoshima.dev LT
takesection
0
140
アジャイルテストで高品質のスプリントレビューを
takesection
0
210
Introduction to kanjava
takesection
0
130
LT Slide 2025-04-22
takesection
0
210
Instructional Designer
takesection
0
180
Zero to Hero
takesection
0
260
Fargateを使った研修の話
takesection
0
380
20240730_kanjava.pdf
takesection
0
190
Featured
See All Featured
A Guide to Academic Writing Using Generative AI - A Workshop
ks91
PRO
1
280
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
baasie
0
300
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
35k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.4k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
659
61k
The Director’s Chair: Orchestrating AI for Truly Effective Learning
tmiket
1
150
How to Align SEO within the Product Triangle To Get Buy-In & Support - #RIMC
aleyda
2
1.5k
The Limits of Empathy - UXLibs8
cassininazir
1
310
SEO in 2025: How to Prepare for the Future of Search
ipullrank
3
3.4k
Google's AI Overviews - The New Search
badams
0
980
What’s in a name? Adding method to the madness
productmarketing
PRO
24
4k
Docker and Python
trallard
47
3.8k
Transcript
アーティファクト管理で サプライチェーン攻撃を回避!! 2026年04月30日 Shigeki Shoji
庄司重樹 アジャイルコーチ / ICTインストラクター 熊本大学大学院 教授システム学専攻 博士前期課程
サプライチェーン攻撃からの防御 • アーティファクト管理ツールの活用 • 仮想開発環境の活用 3
歴史 4
5 https://www.gnu.org/software/software.html
Maven Central • https://repo.maven.apache.org/maven2/ • https://central.sonatype.com/ 6
Maven Centralのセキュリティ • コード署名が必須(公開鍵方式) • コード署名は秘密鍵を使用して署名(GPGを使用) • 公開鍵はキーサーバーにアップロード • 以前はMITのキーサーバーが主要なアップロード先
• 現在は、keyserver.ubuntu.com、keys.openpgp.org、pgp.mit.eduがサポート対 象で、ubuntuが推奨される 7
JCenter • JFrog社が運用していたが、2021年に新規パッケージの受付を 停止し、2024年8月15日にシャットダウン 8
npm、PyPI • タイポスクワッティング • スクリプト自動実行の仕組み • npm install、pip install 時に任意のスクリプトを自動実行する仕組み
がある。 ネイティブライブラリのコンパイルなどのために用意されたもの 9
npmの場合 • インストール時にスクリプト実行されないようにするか、 pnpmのようなサプライチェーン攻撃に対して独自の機能を持 つツールを利用する 10
PyPIの場合 • pip install --only-binary :all: <package> を使用してインス トール時のスクリプト実行を防ぐ •
pip install 時にインハウスリポジトリのみを参照するように、- -index-url を使用する 11
脆弱性の確認 12
ソフトウェア部品表(SBOM) 13
アーティファクト管理ツール 14
アーティファクト管理ツール • sonatype社Nexus Repository • https://www.sonatype.com/products/sonatype-nexus-repository • JFrog社Artifactory • https://jfrog.com/artifactory/
15
特徴 機能 Sonatype Nexus JFrog Artifactory S3サポート OSS版/Pro版ともに対応 Pro版以上で対応 直接DL機能
Pro版で対応 対応(設定により有効化) 16
Sonatype Repository Firewall https://www.sonatype.com/products/sonatype-repository- firewall 18
仮想開発環境 19
仮想環境を使用する利点 • 仮想環境にはアプリケーション構築に必要なツールチェーンの みをインストール • ビルドに必要な情報のみを保持する • デプロイ先の情報等も含めないことで、内部の情報を抜き取ら れても影響がない 20
dev container • https://containers.dev/ • Dev Container(開発コンテナ)の仕組みは、2019年にVS Codeの拡 張機能として登場したのが始まり •
「Development Container Specification」は特定のツールに依存しな い仕様 • JetBrains社のIntelliJ IDEA等で使用可能 21
code server等の活用 • クラウド環境を使用して、開発環境のネットワークを隔離でき る • AWSのVPCやセキュリティグループの利用 22
code server 23
24
サプライチェーン攻撃 25
攻撃者は常に隙を探している • 今日のソフトウェアは大きなエコシステムの中で構築される • あらゆるパッケージはインターネットを使用してダウンロード • 主要なパッケージマネージャへの過度な信頼 • yumやaptでどこからダウンロードされるか意識していますか? •
npm、pipでどこからダウンロードされるか意識していますか? • dockerイメージがどこからダウンロードされるか意識していますか? 26
27 ありがとうございました
takesection
ks91
baasie
eileencodes
rmw
lemiorhan
tmiket
aleyda
cassininazir
ipullrank
badams
productmarketing
trallard
