【必須】GitHubとnpmで脆弱なパッケージを入れないための防御設定 8選 - Qiita

テクノロジーカテゴリーの変更を依頼記事元:

qiita.com/miruky

286users がブックマークコメント

コメント

8

記事へのコメント8件

注目コメント
新着コメント

hakaikosen サプライチェーン攻撃ならmin-release-ageを設定して。

2026/04/12 リンク

queeuq そもそもossに依存して導入してるわけだから検知するならmin-ageが一番効果的だろう。

2026/04/17 リンク

rawwell "このパッケージは postinstall フックで多段階RATを展開し、macOS・Windows・Linuxすべてに対応する本格的なバックドアを設置するものです。影響はOpenAIのmacOS署名パイプラインにまで及び、証明書のローテーションが実施され"

2026/04/13 リンク

Iridium linux環境ってどんどん魔境に近づいてるような…。昔から？

2026/04/12 リンク

ultimatebreak pnpmに移行した

2026/04/12 リンク

ftype pnpm には触れないのか

2026/04/12 リンク

hakaikosen サプライチェーン攻撃ならmin-release-ageを設定して。

2026/04/12 リンク

ledsun ふつうに良いまとめだった

2026/04/12 リンク

nguyen-oi Axiosがやられたのは衝撃的だったな。こういう基本設定をサボると死ぬ時代。Dependabot様々だわ

2026/04/12 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

【必須】GitHubとnpmで脆弱なパッケージを入れないための防御設定 8選 - Qiita

はじめにこんばんは、mirukyです。 2026年3月31日、npmの Axios パッケージ（週間1億ダウンロード）が... はじめにこんばんは、mirukyです。 2026年3月31日、npmの Axios パッケージ（週間1億ダウンロード）がサプライチェーン攻撃を受けました。攻撃者はメンテナーへの標的型ソーシャルエンジニアリングでセッションを乗っ取り、悪意ある依存 plain-crypto-js を注入した axios@1.14.1 と axios@0.30.4 をレジストリに公開しました。このパッケージは postinstall フックで多段階RATを展開し、macOS・Windows・Linuxすべてに対応する本格的なバックドアを設置するものです。影響はOpenAIのmacOS署名パイプラインにまで及び、証明書のローテーションが実施される事態となりました。 OWASP Top 10:2025でも Software Supply Chain Failures（サプライチェーンの障害）が第3位に新設される

ブックマークしたユーザー

TakayukiN6272026/05/11
lugecy2026/04/26
ni-sukensu2026/04/24
paulownia2026/04/22
tkpyoi2026/04/21
donotthinkfeel2026/04/20
asu5552026/04/19
bonjiri-muscle2026/04/18
katoukaitou2026/04/18
ikki1232026/04/18
aito-htsy2026/04/17
market842026/04/17
queeuq2026/04/17
kattobashi20232026/04/17
sawarabi01302026/04/16
mcddx302026/04/14
hm_hs2026/04/14
rawwell2026/04/13

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

いま人気の記事 - 企業メディア

企業メディアをもっと読む

設定を変更しましたx