DevSecOps


GitHub:2023/01/09 更新
PyPI:2023/01/17 更新
npm:2023/01/09 更新

2022年に注目されたものとして、OSS リポジトリにマルウェアを混入させ、ソフトウェア・サプライチェーンに影響を及ぼすという攻撃ベクターがあります。開発者を騙す手口としてタイポスクワッティングが多用される一方で、それらしい説明文章で開発者を説得するものまで現れています。

大半の悪意のパッケージは、比較的に短時間で研究者たちに検出され、次々と削除されていますが、その間に数百単位でダウンロードされるというケースが多いようです。この件数自体は、それほど多いものではありませんが、それらの悪意のパッケージを取り込んでしまったアプリやサービスが、どれほどの影響を及ぼすのかと考えるだけで、頭の痛くなる話となります。

そこで、代表的な OSS リポジトリである、GitHub/PyPI/npm に関連するトピックをまとめたページを作りました。それぞれのリンク先から、それぞれのリポジトリにおけるインシデントなどを参照できます。

GitHub:2023/01/09 更新
PyPI:2023/01/17 更新
npm:2023/01/09 更新

%d bloggers like this: