tag

依存管理

このタグの記事 3 件

Next.js を安全に運用する：公開済みCVEに後れを取らないしくみ

フレームワークの最大リスクは公開済みCVEの放置。実稼働版で判定し、Dependabot/osv-scannerで機械監視、迅速更新、最小権限の4本柱で守る。ITDの視点＝個人開発者が負けるのは知識でなく『運用の継続性』。速さより見落とさない仕組みで勝つ。

Log4jの脆弱性(CVSS 10.0)。本質は『間接的な依存（推移的依存）で、知らないうちに使っている』怖さ。ログ出力という受け身の処理が攻撃経路になった。SBOMと依存の機械監視、迅速なパッチ、追随CVEの追跡が教訓。

圧縮ライブラリxzに、信頼を得た維持者がバックドアを仕込んだ供給網攻撃。安定版到達寸前で一技術者の『遅い』という違和感が食い止めた。コードでなく『人と信頼』が狙われた。依存の最小化・版固定・再現性・違和感の追跡・維持者支援が教訓。