Skip to content
Latchkey

ソフトウェアsupply chain attackとは?

ソフトウェアsupply chain attackは、攻撃者がupstreamのコンポーネント、ビルドpipeline、配布チャネルを侵害し、悪意あるコードが多数のdownstreamの被害者に間接的に届くようにする攻撃です。例としては、人気のあるパッケージを汚染する、CIの署名鍵を盗む、ビルドサーバーにbackdoorを仕込むなどがあります。1つの侵害が何千もの消費者に影響しうるため、そのレバレッジは巨大です。

なぜ重要か

自分のコードを完璧に保護しても、信頼された依存関係や侵害されたビルドステップを通じて侵入されることがあります。防御にはdependency pinning、provenanceの検証、least privilegeなCI認証情報、隔離されたエフェメラルなビルド環境が含まれます。

関連する概念

  • SLSAとprovenanceは主にこうした攻撃に対抗するために存在する
  • dependency pinningは密かな悪意ある更新を制限する
  • least privilegeはCIが侵害された場合のblast radiusを制限する

関連ガイド