GitHubは7月15日、依存パッケージを自動で更新する「Dependabot version updates」に、公開されたばかりのバージョンをすぐには取り込まない「クールダウン(待機期間)」を標準で適用すると発表した。新しいパッケージが世に出てから最低3日間は、更新用のプルリクエストを作らない。これまで任意設定だった安全弁が、既定でオンになる。
何が変わったのか #
Dependabotは、ライブラリに新しいバージョンが出ると自動で更新のプルリクエストを作り、開発者がマージするだけで依存を最新に保てる仕組みだ。今回の変更で、公開から3日未満のバージョンはこのプルリクエスト作成の対象から外れる。すでに使えたクールダウン設定が、明示的に指定しなくても効くようになった形だ。GitHubは「公開直後のパッケージに悪意あるコードや重大な不具合が紛れていた場合、発覚する前に取り込んでしまう危険を抑える」と説明している。
ハッカー視点:「即時汚染」の窓をふさぐ #
近年のサプライチェーン攻撃は、正規ライブラリのメンテナアカウントを乗っ取り、悪意あるバージョンを公開する手口が定番になっている。怖いのはその後だ。CIや自動更新が「新しいバージョン=善」と信じ込み、数分で世界中のプロジェクトに取り込んでしまう。攻撃者にとっては、公開から発覚までのわずかな時間が最大の稼ぎ時になる。
3日の待機は、この初動の窓をふさぐ。スキャナーや利用者が不審なバージョンを通報し、レジストリから削除されるまでの時間を稼げるからだ。多くの悪性パッケージは公開から数時間で見つかって消される。そこを自動で待てるだけでも、被害に遭う確率は大きく下がる。
ただし万能ではない。3日を超えて潜伏する巧妙な版や、既存バージョンそのものの改ざんには効かない。クールダウンはあくまで「初動を遅らせて、人間と検知の仕組みに時間を渡す」防御だ。依存の棚卸しや署名検証と組み合わせて、はじめて意味を持つ。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。