tag
サプライチェーン
このタグの記事 2 件
2026-06-07
XZ Utils バックドア(CVE-2024-3094)— 信頼そのものが狙われたサプライチェーン事件
圧縮ライブラリxzに、信頼を得た維持者がバックドアを仕込んだ供給網攻撃。安定版到達寸前で一技術者の『遅い』という違和感が食い止めた。コードでなく『人と信頼』が狙われた。依存の最小化・版固定・再現性・違和感の追跡・維持者支援が教訓。
2026-06-07
Codecov 改ざん事件(2021)— CIの“信頼するツール”が乗っ取られ秘密情報が流出した原因と防御
原因は『CIで信頼して実行するツール(curl|bashのBash Uploader)が上流で改ざんされた』こと。自分のコードは無傷なので約2か月気づけず、CIの秘密情報が流出。検知はチェックサム照合だった。あなたのCIでは取得物の完全性検証・秘密の最小権限・ローテーション・egress監視で再発防止する。