Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Provenance in JSR

Avatar for Shunsuke Mano Shunsuke Mano
September 27, 2024

Provenance in JSR

Avatar for Shunsuke Mano

Shunsuke Mano

September 27, 2024
Tweet

More Decks by Shunsuke Mano

Other Decks in Programming

Transcript

  1. Name: 眞野 隼 輔 ま の しゅんすけ   @progfay

    ɾWeb Frontend Engineer ɾBrowser पΓͷಈ޲Λ௥͏ͷ͕झຯ ・ 最近は謎解きにハマっている (CTF 気分)
  2. ・ せっかく作った package なので、いろんな実験をしてる ・ ESLint → Biome に移 行

    してみたり ・ 脆弱性を 見 つけて CVE を発 行 してみたり ・ Jest → Vitest → Node.js Test Runner に移 行 してみたり @progfay/scrapbox-parser
  3. ・ transparency log が表 示 できる ・ publish process が

    自 動化される ・ token などの漏洩の危険性が減らせる ・ 実際には GHA から publish することのメリット ・ でも 自 動化のモチベーションになるのは喜ばしい package 開発者は何が嬉しい?
  4. ・ package の安全性を検証できる ・ Provenance 自 体は安全性を保証してくれるわけではない ・ 開発側が適切に package

    を publish する必要がある ・ 悪意のあるコードが混 入 しづらくなる ・ サプライチェーン攻撃などに 一 定の効果があるはず package 利 用 者は何が嬉しい?
  5. 1 . `jsr.json` を作成する 2 . JSR package と GitHub

    Repository を link する 3 . GitHub Actions Workflow を追加する 4 . Workflow を trigger する Publish to JSR
  6. ・ access token を管理する必要がない ・ 発 行 する必要すらないので、漏洩のリスクを減らすことができる ・ GitHub

    Actions を利 用 していれば Provenance される ・ Provenance を知らなくても勝 手 にやってくれるのは嬉しい JSR Provenance の良いところ
  7. ・ npm は GitHub Actions 以外でも Provenance ができる ・ GitLab

    なら `--provenance` をつけるだけ ・ その他でも `--provenanceFile` を使えばできるっぽい? npm Provenance の良いところ