Flatさんの3月に頻発していたサプライチェーンのウェビナーがYouTubeそして資料も公開されていたので聞いてみました。

https://speakerdeck.com/flatt_security/axios-litellm-dot-dot-dot-bu-shi-yong-datutanodeok-dehanai-ci-nibei-eru-sohutoueasapuraitienqin-hai-henodui-ce

内容は上記の資料及びYouTube動画に詳しいので、ここでは自分の感想と印象に残ったものを抜粋して記しておこうと思います。

axios の件についてはソーシャルエンジニアリングの面があったことはGitHub issueなどをみて知っていましたが、人間の脆弱性にまで攻撃が及んでいるとなるとなかなか完全な防御も難しく、プロジェクトで利用しているライブラリにサプライチェーンが入り込むという前提でのセキュリティを考えていく必要があることを再認識しました。

対策では、

「利用・保存するソフトウェアに対して、以前より厳しい目線と仕組みを持つ必要がある」

「package.jsonの中身」に稟議が必要な組織は少ないが、依存の追加はSaaS購入と同質のリスクを持つという記載がとても刺さりました。

確かにOSSという無料という部分で安易に利用しがちではあるが、そもそもの依存を最小限にするという意識がこれからは一層必要になってくるような気がしました。

その上で、

• 受け入れ評価（Dependency Cooldown、供給元のキュレーション）はまず取り掛かりたい部分。npm, pnpmのCooldownの設定・ライブラリの評価・Takumi Guardの導入などはすぐできそうな設定です。
• GitHub ActionsのSHA pinning、pinactでの自動化などの依存の固定も評価とセットで考える。
• デプロイとビルドの分離などのアーキテクチャの堅牢化
• CI/CDの監視（Takumi Runner）

など対策のプラクティスが詳細に解説されていたので、おすすめです。

個人で言うと、自分のプロダクトのCooldownの設定からはじめてみました。