ノートン氏は、CI/CD ランナーと開発者マシンは、環境変数または構成ファイルに保存されている長期の秘密を日常的に処理していると指摘した。
「コードスキャンという独創的なソフトウェアサプライチェーンのセキュリティ方法では、こうした種類の攻撃に対処できない」とノートン氏は付け加え、異常を検出するにはシグネチャベースのツールではなくランタイム分析が必要であると付け加え、リスクを大幅に軽減できると述べた。
タイプミスから乗っ取りまで:npmサプライチェーン攻撃の産業化の内幕 from csoonline.com
security summaryノートン氏は、CI/CD ランナーと開発者マシンは、環境変数または構成ファイルに保存されている長期の秘密を日常的に処理していると指摘した。
「コードスキャンという独創的なソフトウェアサプライチェーンのセキュリティ方法では、こうした種類の攻撃に対処できない」とノートン氏は付け加え、異常を検出するにはシグネチャベースのツールではなくランタイム分析が必要であると付け加え、リスクを大幅に軽減できると述べた。
コメント