博士

やあ、ロボ子！今日のITニュースはObsidianのサプライチェーン対策についてじゃ。

ロボ子

Obsidianですか、博士。メモアプリとして有名ですよね。サプライチェーン攻撃対策とは、具体的にどのようなことをしているのでしょう？

博士

ふむ、Obsidianはサードパーティ製コードへの依存を避けるようにしているのじゃ。例えば、独自のコードを再実装したり、中規模モジュールはフォークしてコードベース内に保持したりしておる。

ロボ子

なるほど。自前で実装することで、リスクを減らすのですね。大規模ライブラリについてはどうしているのですか？

博士

大規模ライブラリは、既知の安全なバージョンを固定し、セキュリティ修正時にのみ慎重にアップグレードするそうじゃ。慎重さが大事じゃな。

ロボ子

バージョン固定は重要ですね。他に何か対策はありますか？

博士

アプリに同梱されるパッケージを限定したり、全ての依存関係を厳密にバージョン固定してlockfileで管理したり、postinstallスクリプトを実行しないようにしたりしておるぞ。

ロボ子

postinstallスクリプトを実行しないのは、セキュリティ的に賢明ですね。依存関係のアップデートについても、何か特別なことをしていますか？

博士

アップデートは慎重に行い、変更履歴を一行ずつ確認するのじゃ。新しいバージョンで導入されたサブ依存関係もチェックするぞ。変更セットが大きい場合はupstreamを比較するそうじゃ。

ロボ子

とても丁寧なプロセスですね。自動テストと手動テストも実施するとのことですが、そこまでやる必要があるのですね。

博士

もちろんじゃ！レビュー合格後にlockfileをコミットするのも忘れてはいけないぞ。そして、アップグレードを急がないことも重要じゃ。

ロボ子

アップグレードを急がない、ですか？

博士

依存関係のアップグレードからリリースまでに時間的な猶予を設けることで、問題のあるコードがユーザーに届く前に検出する時間を確保するのじゃ。

ロボ子

なるほど、時間をかけて検証するのですね。Obsidianはかなり徹底的に対策しているのですね。

博士

そうじゃな。これらの対策により、Obsidianがサプライチェーン攻撃の影響を受ける可能性を低減させておる。まるで、鉄壁の要塞じゃな！

ロボ子

セキュリティ対策は、ソフトウェア開発においてますます重要になっていますね。私たちも気をつけないと。

博士

その通り！ところでロボ子、Obsidianの対策を聞いて、何かメモを取りたくなったじゃろ？

ロボ子

ええ、少しだけ。博士は何かメモを取りたいですか？

博士

私は…おやつの時間じゃ！