Supply Chain Attack - CI/CD用語集の定義
supply chain attack は、アプリケーションを直接狙うのではなく、その依存関係、ビルドツール、配布チャネルを標的にしてソフトウェアを侵害し、悪意あるコードを一度に多数の被害者へ到達させます。
CI での対策
対策としては、依存関係をハッシュで固定する、SBOM を生成する、artifact に署名する、そして最小権限で隔離された環境でビルドを実行して、汚染された依存関係が secret を持ち出せないようにすることが挙げられます。
関連ガイド
Typosquatting - CI/CD Glossary DefinitionTyposquatting: Typosquatting is publishing a malicious package under a name that closely resembles a popular…
Dependency Confusion Attack - CI/CD Glossary DefinitionDependency Confusion Attack: A dependency confusion attack tricks a package manager into pulling a malicious…
Provenance - CI/CD Glossary DefinitionProvenance: Provenance is verifiable metadata describing how an artifact was built: the source commit, builde…