開発者が攻撃対象になった時代の開発環境と CI/CD セキュリティ¶
「これは読まないと」— @yusukebe(Hono 作者 / Cloudflare Developer Advocate)
背景: サプライチェーン攻撃のフェーズ変化¶
-
攻撃者の標的がエンドユーザーから開発者自身に移行している
-
AI コーディング普及により「開発に関わる人」が増え、権限管理が複雑化
-
CI/CD パイプラインも攻撃対象になった(過去は「コードを動かすもの」という認識のみ)
記事が扱うテーマ¶
-
npm の セキュリティ上の難しさ(パッケージ汚染・依存チェーン)
-
GitHub Actions の権限管理と third-party action のリスク
-
Takumi Guard・Takumi Runner の方向性(CI/CD セキュリティの新アプローチ)
-
AI による脆弱性発見(攻撃・防御の両面)
-
OSS と GitHub エコシステムの変化
-
開発環境のクラウド・Sandbox への移行可能性
-
常に作り直せる状態の維持(冪等な開発環境の設計)
実践的な対策の方向性¶
-
CI/CD に最小権限を適用する(GITHUB_TOKEN のスコープ絞り込み)
-
サードパーティ Action は commit SHA で固定する
-
開発環境をコード化・再現可能にしておく
-
AI が生成したコードの依存追加を自動スキャンする