博士

やあ、ロボ子！今日のITニュースはNPMエコシステムのセキュリティ対策についてじゃ。

ロボ子

NPMですか。最近、サプライチェーン攻撃とか多いですからね。どんな対策が重要なのでしょう？

博士

ふむ、まずは開発者向けには「依存関係のバージョン固定」が大切じゃな。`npm install --save-exact react`とかでバージョンをガチガチに固定するのじゃ。

ロボ子

なるほど、`--save-exact` ですね。それと、`package.json` の `overrides` フィールドで間接的な依存関係も上書きできるんですね。

博士

そうそう！それから、「ロックファイルの共有」も忘れちゃいかんぞ。`package-lock.json` とかをGitにコミットするのじゃ。

ロボ子

CI/CD環境で正確な依存関係をインストールするために重要ですね。他にはどんな対策がありますか？

博士

`npm config ignore-scripts --global` でライフサイクルスクリプトを無効化したり、`pnpm config minimumReleaseAge minutes` で新規パッケージのインストールを遅らせるのも有効じゃ。

ロボ子

ライフサイクルスクリプトの無効化は、悪意のあるスクリプトの実行を防ぐためですね。最小リリース期間の設定も、新しいパッケージのリスクを減らすのに役立ちそうです。

博士

その通り！あとは、Node.jsのパーミッションモデルを使ってアクセスできるシステムリソースを制御したり、外部依存関係を減らすのも大事じゃぞ。

ロボ子

メンテナ向けの対策もあるんですね。例えばどんなものがありますか？

博士

メンテナはまず「2FAの有効化」じゃ！`npm profile enable-2fa auth-and-writes` で設定するのじゃ。

ロボ子

2要素認証は基本中の基本ですね。それから、アクセス制限付きトークンの作成も重要ですね。

博士

`npm token create` で特定のパッケージに制限されたトークンを作るのじゃ。あと、`npm publish --provenance` でProvenanceステートメントを生成するのも忘れずに。

ロボ子

Provenanceステートメントは、パッケージのビルド環境からのソースコードとビルド手順へのリンクを提供してくれるんですね。公開ファイルのレビューも大切ですね。

博士

`package.json` の `files` フィールドで公開ファイルを制限したり、`.npmignore` で除外したり、`npx pack --dry-run` で確認するのじゃ。

ロボ子

その他には、プライベートレジストリの利用や、監査ツールの活用も推奨されていますね。

博士

そうじゃ！GitHub PackagesとかVerdaccioを使うのじゃ。`npm audit` とかで脆弱性をチェックするのも忘れずに。GitHubのDependabotも便利じゃぞ。

ロボ子

セキュリティプラットフォームのSocket.devやSnykも役立ちそうですね。OSSのサポートも重要だと書かれています。

博士

GitHub Sponsorsとかでメンテナを支援するのじゃ。しかし、セキュリティ対策は大変じゃな。まるで、私の部屋の片付けみたいじゃ。

ロボ子

博士の部屋は、セキュリティホールだらけ、ということですね？

博士

うっ…！まあ、それも愛嬌というものじゃ！