Skip to content
Latchkey

Supply Chain Attack - CI/CD用語集の定義

supply chain attack は、アプリケーションを直接狙うのではなく、その依存関係、ビルドツール、配布チャネルを標的にしてソフトウェアを侵害し、悪意あるコードを一度に多数の被害者へ到達させます。

CI での対策

対策としては、依存関係をハッシュで固定する、SBOM を生成する、artifact に署名する、そして最小権限で隔離された環境でビルドを実行して、汚染された依存関係が secret を持ち出せないようにすることが挙げられます。

関連ガイド