Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
アーティファクト管理で サプライチェーン攻撃を回避!!
Search
Shigeki Shoji
April 30, 2026
94
0
Share
アーティファクト管理で サプライチェーン攻撃を回避!!
2026-04-30
KanJava (関ジャバ)
Shigeki Shoji
April 30, 2026
More Decks by Shigeki Shoji
See All by Shigeki Shoji
2025-12-19-LT
takesection
0
140
2025-12-11 nakanoshima.dev LT
takesection
0
150
アジャイルテストで高品質のスプリントレビューを
takesection
0
210
Introduction to kanjava
takesection
0
130
LT Slide 2025-04-22
takesection
0
210
Instructional Designer
takesection
0
180
Zero to Hero
takesection
0
270
Fargateを使った研修の話
takesection
0
390
20240730_kanjava.pdf
takesection
0
200
Featured
See All Featured
How to Ace a Technical Interview
jacobian
281
24k
Digital Ethics as a Driver of Design Innovation
axbom
PRO
1
280
Tell your own story through comics
letsgokoyo
1
920
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
akademiya2063
PRO
1
110
Bootstrapping a Software Product
garrettdimon
PRO
307
120k
B2B Lead Gen: Tactics, Traps & Triumph
marketingsoph
0
120
The Spectacular Lies of Maps
axbom
PRO
1
740
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
133
19k
The Pragmatic Product Professional
lauravandoore
37
7.3k
How to build a perfect <img>
jonoalderson
1
5.5k
Speed Design
sergeychernyshev
33
1.7k
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
apolaine
1
310
Transcript
アーティファクト管理で サプライチェーン攻撃を回避!! 2026年04月30日 Shigeki Shoji
庄司重樹 アジャイルコーチ / ICTインストラクター 熊本大学大学院 教授システム学専攻 博士前期課程
サプライチェーン攻撃からの防御 • アーティファクト管理ツールの活用 • 仮想開発環境の活用 3
歴史 4
5 https://www.gnu.org/software/software.html
Maven Central • https://repo.maven.apache.org/maven2/ • https://central.sonatype.com/ 6
Maven Centralのセキュリティ • コード署名が必須(公開鍵方式) • コード署名は秘密鍵を使用して署名(GPGを使用) • 公開鍵はキーサーバーにアップロード • 以前はMITのキーサーバーが主要なアップロード先
• 現在は、keyserver.ubuntu.com、keys.openpgp.org、pgp.mit.eduがサポート対 象で、ubuntuが推奨される 7
JCenter • JFrog社が運用していたが、2021年に新規パッケージの受付を 停止し、2024年8月15日にシャットダウン 8
npm、PyPI • タイポスクワッティング • スクリプト自動実行の仕組み • npm install、pip install 時に任意のスクリプトを自動実行する仕組み
がある。 ネイティブライブラリのコンパイルなどのために用意されたもの 9
npmの場合 • インストール時にスクリプト実行されないようにするか、 pnpmのようなサプライチェーン攻撃に対して独自の機能を持 つツールを利用する 10
PyPIの場合 • pip install --only-binary :all: <package> を使用してインス トール時のスクリプト実行を防ぐ •
pip install 時にインハウスリポジトリのみを参照するように、- -index-url を使用する 11
脆弱性の確認 12
ソフトウェア部品表(SBOM) 13
アーティファクト管理ツール 14
アーティファクト管理ツール • sonatype社Nexus Repository • https://www.sonatype.com/products/sonatype-nexus-repository • JFrog社Artifactory • https://jfrog.com/artifactory/
15
特徴 機能 Sonatype Nexus JFrog Artifactory S3サポート OSS版/Pro版ともに対応 Pro版以上で対応 直接DL機能
Pro版で対応 対応(設定により有効化) 16
Sonatype Repository Firewall https://www.sonatype.com/products/sonatype-repository- firewall 18
仮想開発環境 19
仮想環境を使用する利点 • 仮想環境にはアプリケーション構築に必要なツールチェーンの みをインストール • ビルドに必要な情報のみを保持する • デプロイ先の情報等も含めないことで、内部の情報を抜き取ら れても影響がない 20
dev container • https://containers.dev/ • Dev Container(開発コンテナ)の仕組みは、2019年にVS Codeの拡 張機能として登場したのが始まり •
「Development Container Specification」は特定のツールに依存しな い仕様 • JetBrains社のIntelliJ IDEA等で使用可能 21
code server等の活用 • クラウド環境を使用して、開発環境のネットワークを隔離でき る • AWSのVPCやセキュリティグループの利用 22
code server 23
24
サプライチェーン攻撃 25
攻撃者は常に隙を探している • 今日のソフトウェアは大きなエコシステムの中で構築される • あらゆるパッケージはインターネットを使用してダウンロード • 主要なパッケージマネージャへの過度な信頼 • yumやaptでどこからダウンロードされるか意識していますか? •
npm、pipでどこからダウンロードされるか意識していますか? • dockerイメージがどこからダウンロードされるか意識していますか? 26
27 ありがとうございました
takesection
jacobian
axbom
letsgokoyo
akademiya2063
garrettdimon
marketingsoph
morganepeng
lauravandoore
jonoalderson
sergeychernyshev
apolaine
