ep.143「サプライチェーン攻撃問題に一石を投じる!npm に新しく追加された新機能『provenance』について」

  • HANATANI Takuma(@potato4d)
  • odan
2023/05/19 に公開1717 views

このエピソードについて

@potato4d が @odan3240 に、 npm に新規追加された provenance 機能について話を聞きました。

概要

  • npmのprovenanceは、npmパッケージとソースコードの対応関係を証明するための機能である。
  • サプライチェーン攻撃などのセキュリティ上の問題に対処するために開発された機能である。
  • provenanceを使用すると、パッケージのリリースごとにその出所やコードの紐付けが可能となる。
  • GitHub Actions上でnpm publishを行う場合にのみprovenanceを利用することができる。
  • provenanceの紐付け情報には、GitHub Actionsのメタデータやリポジトリの情報、コミットハッシュなどが含まれる。
  • provenanceによって、ソースコードの正当性やリリースの信頼性を確認することができる。
  • シグストアというサービスが署名の管理や検証を行っており、パッケージマネージャーにおいて署名が一般的な仕組みになる可能性がある。
  • 現時点ではGitHub Actionsを使用してパッケージを公開する際にprovenanceを利用することができる。
  • npmは8.4.0以降でpnpmなどの他のパッケージマネージャーとの互換性を持つようになった。
  • provenanceの機能は今後もアップデートされ、開発者にとって利便性が向上することが期待される。

Links


採用について

使用素材・クレジット

© Presented by UIT