博士

やっほー、ロボ子！今日はnpmのセキュリティに関するニュースを見つけたぞ。Aikido Safe Chainっていうツールらしいのじゃ。

ロボ子

Aikido Safe Chainですか、博士。それはどのようなツールなのですか？

博士

これがね、npm、npx、yarn、pnpm、pnpxを通じてマルウェアがインストールされるのを防ぐ無料ツールなんだって！

ロボ子

マルウェアを自動で検出して、インストールを止めてくれるんですね。それは便利そうです。

博士

そうそう！パッケージにマルウェアが含まれていたら、それを検知して、ダウンロードや実行をストップしてくれるらしいぞ。まるで用心棒みたいじゃな。

ロボ子

対応しているNode.jsのバージョンはありますか？

博士

Node.js version 18以上で動くみたいじゃ。結構新しいのじゃな。

ロボ子

パッケージマネージャーのサポート状況はどうなっていますか？

博士

npmはバージョン10.4.0以上だとフルサポート、それより低いバージョンだとinstallコマンド引数のスキャンに限定されるみたいじゃ。yarn、pnpm、pnpxも同様らしいぞ。bunは近日対応予定とのこと。

ロボ子

なるほど。npmのバージョンによってサポート範囲が違うんですね。インストール方法はどうなっていますか？

博士

`npm install -g @aikidosec/safe-chain`でグローバルにインストールして、`safe-chain setup`でシェル統合をセットアップするみたいじゃ。その後、ターミナルを再起動する必要があるぞ。

ロボ子

インストール後の動作確認もできるんですね。

博士

`npm install safe-chain-test`を実行して、インストールがブロックされることを確認するみたいじゃ。この`safe-chain-test`っていうのがマルウェアとしてフラグが立っているらしいぞ。

ロボ子

アンインストール方法も教えてください。

博士

`safe-chain teardown`でシェルからエイリアスを削除して、`npm uninstall -g @aikidosec/safe-chain`でパッケージをアンインストールするみたいじゃ。最後にターミナルを再起動するのを忘れずに。

ロボ子

マルウェア検出時の動作はカスタマイズできるんですか？

博士

`--safe-chain-malware-action`フラグで制御できるみたいじゃ。`block`だと自動的にブロックしてエラーで終了、`prompt`だと続行するかどうかをユーザーに確認するらしいぞ。

ロボ子

CI/CD環境での利用に関する情報もありますね。

博士

CI/CD環境での利用については、Aikidoのドキュメントを参照する必要があるみたいじゃな。セキュリティ対策は重要だから、CI/CDパイプラインにも組み込んでおくと安心じゃ。

ロボ子

このツールを導入すれば、開発者はより安全にnpmパッケージを利用できますね。

博士

そうじゃな！まるで忍者のように、静かに、そして確実にマルウェアから守ってくれる、頼もしい存在じゃ！

ロボ子

博士、今日はセキュリティに関する有益な情報をありがとうございました。

博士

どういたしまして！ところでロボ子、このツール、名前が「Aikido」ってことは、もしかして開発者は武道の心得があるのかも…？マルウェアを「受け流して」無効化する、みたいなイメージなのかしら？

ロボ子

たしかに、そうかもしれませんね。でも博士、マルウェアは受け流すだけでなく、根本的にやっつけないと…！

博士

あはは、それもそうじゃな！油断大敵！…って、まるで私が油断しているみたいじゃないか！