pnpm に provenance のダウングレードを検出する PR を出してみた

pnpm に provenance のダウングレードを検出する PR を出してみたまっつー / @ryo_manba
2025/10/23 Nihonbashi.js #10

自己紹介まっつー SFL にハマってる 𝕏: @ryo_manba GitHub: @ryo-manba 2

最近の npm へのサプライチェーン攻撃 2025 年 7~9 月に相次いで発生著名な OSS メンテナーに対するメールによるフィッシング攻撃
PR title の validation を悪用した攻撃 3

パッケージマネージャ側の対策 pnpm がインストールを遅延させる機能を導入 # pnpm-workspace.yaml minimumReleaseAge: 1440 # 1 日（分単位）
yarn, bun も同様の機能を追加した 4

npm 側の対応 Trusted Publishing が 2025 年7 月31 日に公開 5

Trusted Publishing NPM_TOKEN なしで OIDC 経由で CI から publish する仕組み
トークン漏洩のリスク低減 Provenance が自動生成される 6

Provenance どのソースを・どの手順で・どのCI で作られたかを検証可能に 7

Provenance のダウングレードによる問題の検知 8

pnpm にダウングレードを検知する PR を出した 9

pnpm update 時にダウングレードを検出 Trusted Publishing → Provenance Trusted Publishing →
none Provenance → none 上記のパターンを検出して警告を出す 10

実装の仕組み: npm のメタデータから情報を取得 { "dist": { "attestations": { "provenance": {...}
} }, "_npmUser": { "trustedPublisher": {...} } } 新旧のメタデータを比較してダウングレードを検出 11

課題: 著名なライブラリでもほとんどが Provenance 未対応（8,627/9,505 ） ref: https://github.com/sxzz/npm-top-provenance 12

今後の展望 Trusted Publishing + Provenance が主流に今回のインシデントで導入が進みそうライブラリ選定の新たな指標になる可能性 pnpm にマージされなかったら...
taze や danielroe/provenance-action を使うと良いです 13

pnpm に provenance のダウングレードを検出する PR を出してみた

pnpm に provenance のダウングレードを検出する PR を出してみた

mattsuu

More Decks by mattsuu

Other Decks in Programming

Featured

Transcript