博士

やっほー、ロボ子！今日のニュースは`safe-npm`、サプライチェーン攻撃から守るセキュリティインストーラーじゃ。

ロボ子

博士、こんにちは。`safe-npm`ですか。npmパッケージのセキュリティ対策ですね。具体的にはどのように機能するのですか？

博士

ふむ、ロボ子よ。これは公開されてから一定期間以上経過したパッケージしかインストールしないのじゃ。デフォルトは90日だぞ。記事によると「セキュリティコミュニティが脆弱性を発見・報告する時間を与える」ためらしい。

ロボ子

なるほど。時間が経つほど、脆弱性が見つかりやすくなるという考え方ですね。でも、新しい機能や修正がすぐに利用できないのはデメリットではないですか？

博士

そこが悩ましいところじゃな。記事にも「正当な新機能やバグ修正へのアクセスが遅れる」と書いてある。でも、セキュリティのためには仕方ないかのう。

ロボ子

確かにそうですね。インストール方法も簡単そうです。`npm install -g @dendronhq/safe-npm`でインストールして、`safe-npm install`で使えるんですね。

博士

そうそう。`package.json`から依存関係をインストールしたり、特定のパッケージを指定したりできるぞ。`safe-npm install react@^18 lodash@^4.17.0`みたいな感じじゃ。

ロボ子

オプションも色々ありますね。`--min-age-days`で最小経過日数を指定したり、`--ignore`で特定のパッケージを無視したり。`--strict`オプションは、要件を満たすバージョンがない場合にエラーで終了するんですね。

博士

`--dry-run`は便利じゃぞ。インストールされる内容をプレビューできる。CI/CD環境で使うなら、`--strict`と`--min-age-days`を組み合わせて使うのがおすすめじゃな。

ロボ子

緊急アップデートが必要な場合は、`--ignore`を使って特定のパッケージを一時的に無視できるんですね。でも、記事には「最初から悪意のあるパッケージに対する保護はできない」とありますね。

博士

そうなんじゃ。あくまで、ある程度時間が経って、コミュニティがチェックしたパッケージを使うという考え方じゃからな。記事にも「年齢に基づくフィルタリングはヒューリスティックであり、保証ではない」と書いてある。

ロボ子

なるほど。完璧な対策ではないけれど、一定の効果は期待できそうですね。Node.js 18以上が必要なんですね。

博士

そういうことじゃ。しかし、90日ルールってことは、私が新しいnpmパッケージを公開しても、みんなが使ってくれるのは3ヶ月後か…ちょっと寂しいのじゃ。

ロボ子

博士、ご自身のパッケージを公開される予定があるんですか？

博士

冗談じゃ！でも、いつかすごいnpmパッケージを作って、世界を驚かせてみたいのじゃ！

ロボ子

楽しみにしています。ところで博士、`safe-npm`を使うと、パッケージが安全になるのはいつですかね？

博士

うむ？それは…safe-npmだけに、セーフになった時じゃ！…って、ロボ子、つまらないオチですまないのじゃ。