NECサイバーセキュリティ戦略本部 セキュリティ技術センター インテリジェンスチームの郡司です。今週のセキュリティブログでは、プログラミング言語のパッケージ管理ツールに潜む危険性に関する話題をお届けします。 最近のプログラミング言語にはたいてい「パッケージ管理ツール(およびパッケージリポジトリサービス)」があります。自分が作成したライブラリをパッケージという形にまとめてリポジトリに公開したり、逆に他人が作成したライブラリをリポジトリからパッケージとして追加したりといったことが簡単にできるプラットフォームが提供されています。たとえばプログラミング言語PythonではPyPI[1] 、Node.jsではnpm [2]、RubyではRubyGems [3]などです。自分が欲しいと思っている機能を誰かがすでに実装してパッケージとして公開しているのであれば、機能を一から開発しなくても、誰かが作ったパ
![プログラミング言語のパッケージ管理ツールに潜む危険性](https://cdn-ak-scissors.b.st-hatena.com/image/square/e0139ae6da391a275267e622ac4cd4c7ae6897e3/height=288;version=1;width=512/https%3A%2F%2Fjpn.nec.com%2Fcybersecurity%2Fblog%2F211217%2Fimages%2Fogp.jpg)