はじめに
最近はAI活用によりサプライチェーン攻撃が活発化してきましたね。
背景
毎日のように飛び込んでくるAI関連のリスク、ただただ恐怖に怯える毎日をお過ごしかと思います。AIを活用することでのメリットは大きい反面、そこに潜在する多くのリスクとどう対峙していけば良いのか、皆さんが悩むところです。
詳細
サプライチェーン攻撃のリスクや攻撃手法ばかりが情報を専有してしまい、結局どうすれば良いのかが分かり難くなっていないでしょうか。私が勧めるたった一つのことをご紹介します。
対応
npm install -g @aikidosec/safe-chain
safe-chain setup
# ターミナル再起動(またはシェル設定の再読み込み)
これだけでOKです。
あとは悪性パッケージを導入しようとするとそこで強制終了させられます。
$ npm install axios@1.14.1
✖ Safe-chain: 悪意のある変更が検出されました:
- axios@1.14.1
Safe-chain: 悪意のあるパッケージをインストールせずに終了します。
終わりに
このリポジトリを管理している Aikido さんは自らを「オールインワンのアプリケーションセキュリティプラットフォーム(the all-in-one application security platform)」と称しています。
ひとまずこれを信じて使ってみましょう。(私は責任を負えませんのでご自身の判断で)
一言
重要なことは、サプライチェーン攻撃に仮に遭遇してしまったとしても「私達はこれだけの対策をしていた」という事実を説明できることだと思っています。
その一つの対策として検討してみるのは如何でしょうか。
【追記】
Q. 「Aikodo の中の人ですか?」
A. 「全く関係ありませんが、気合だけは負けません」