D
把握のみ
GitHubはnpmエコシステムにおいて、自動化されたサプライチェーン攻撃を防ぐための「分段階リリース(staged publishing)」機能を導入しました
📌 一言でいうと
GitHubはnpmエコシステムにおいて、自動化されたサプライチェーン攻撃を防ぐための「分段階リリース(staged publishing)」機能を導入しました。この機能により、パッケージは一度暫定キューに入り、メンテナンス者の手動承認を経てから公開されるようになります。また、npm CLI 11.15.0では、インストール元のソースを細かく制御できる新しいセキュリティフラグも導入されました。
🔍該当判定
- 自社でnpmパッケージを開発し、npmレジストリへ公開(publish)している
- GitHub ActionsなどのCI/CDツールを使って、npmパッケージを自動的に公開している
- npm CLI 11.15.0以降を利用しており、パッケージのインストール元を制限したい
- npm CLI 12へのアップデートを予定しており、Git経由のパッケージインストール(--allow-git)を利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
npm CLIを11.15.0以上に更新し、`npm stage publish`への移行を検討すること。また、`.npmrc`や`package.json`で`--allow-remote`などのインストール制御フラグを設定し、信頼できないソースからのインストールを制限することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】npm 分段階リリース機能およびインストール制御の導入について
お疲れさまです。npmのサプライチェーン攻撃対策に関する情報共有です。
■ 概要
GitHub/npmが、自動化された悪意あるパッケージ公開を防ぐ「分段階リリース(staged publishing)」および、インストール元の制限フラグを導入しました。これにより、CI/CDパイプラインへのコード注入による不正公開のリスクを低減し、依存関係の混同攻撃(Dependency Confusion)への耐性を高めることが可能です。
■ 影響範囲
- npm CLI 11.15.0 以降を利用する開発環境
- npmパッケージを公開しているメンテナ
■ 対応手順
1. npm CLIを最新バージョン(11.15.0+)にアップデートする。
2. パッケージ公開フローを `npm publish` から `npm stage publish` へ変更し、手動承認プロセスを導入する。
3. `.npmrc` 等で `--allow-remote=none` などのフラグを設定し、レジストリ外からの不正なインストールを制限する。
■ 参考情報
- GitHub/npm 公式リリースノート
対応優先度: 中
対応期限: 次回開発環境アップデート時
お疲れさまです。npmのサプライチェーン攻撃対策に関する情報共有です。
■ 概要
GitHub/npmが、自動化された悪意あるパッケージ公開を防ぐ「分段階リリース(staged publishing)」および、インストール元の制限フラグを導入しました。これにより、CI/CDパイプラインへのコード注入による不正公開のリスクを低減し、依存関係の混同攻撃(Dependency Confusion)への耐性を高めることが可能です。
■ 影響範囲
- npm CLI 11.15.0 以降を利用する開発環境
- npmパッケージを公開しているメンテナ
■ 対応手順
1. npm CLIを最新バージョン(11.15.0+)にアップデートする。
2. パッケージ公開フローを `npm publish` から `npm stage publish` へ変更し、手動承認プロセスを導入する。
3. `.npmrc` 等で `--allow-remote=none` などのフラグを設定し、レジストリ外からの不正なインストールを制限する。
■ 参考情報
- GitHub/npm 公式リリースノート
対応優先度: 中
対応期限: 次回開発環境アップデート時
Subject: [Info] Implementation of npm Staged Publishing and Installation Controls
Hi all,
This is a technical update regarding new security features in the npm ecosystem to mitigate supply chain attacks.
■ Overview
GitHub has introduced 'staged publishing' to prevent automated malicious package releases. Packages now enter a staging queue and require manual maintainer approval before public availability. Additionally, npm CLI 11.15.0 introduces granular installation flags to restrict dependency sources.
■ Scope
- Development environments using npm CLI 11.15.0+
- Maintainers publishing npm packages
■ Action Plan
1. Update npm CLI to version 11.15.0 or later.
2. Transition publishing workflows from `npm publish` to `npm stage publish` to incorporate manual verification.
3. Configure `.npmrc` or `package.json` with flags such as `--allow-remote=none` to block non-registry installations.
■ Reference
- Official GitHub/npm release notes
Priority: Medium
Deadline: Next environment update cycle
Hi all,
This is a technical update regarding new security features in the npm ecosystem to mitigate supply chain attacks.
■ Overview
GitHub has introduced 'staged publishing' to prevent automated malicious package releases. Packages now enter a staging queue and require manual maintainer approval before public availability. Additionally, npm CLI 11.15.0 introduces granular installation flags to restrict dependency sources.
■ Scope
- Development environments using npm CLI 11.15.0+
- Maintainers publishing npm packages
■ Action Plan
1. Update npm CLI to version 11.15.0 or later.
2. Transition publishing workflows from `npm publish` to `npm stage publish` to incorporate manual verification.
3. Configure `.npmrc` or `package.json` with flags such as `--allow-remote=none` to block non-registry installations.
■ Reference
- Official GitHub/npm release notes
Priority: Medium
Deadline: Next environment update cycle