サプライチェーン攻撃対策の社内展開：抜粋（SHA pinning 必須化、min-release-age、Takumi Guard）

本記事では、当社のサプライチェーン攻撃対策として社内アナウンスおよびガイドライン化した項目の抜粋を紹介いたします。 昨今、Supply Chain Attack の激化、特に Trivy や LiteLLM への侵害による影響範囲が極めて大きいことを懸念して実施されたものです。幸いにも直接の被害は生じず済みましたが、どちらも社内利用されているため、慎重かつ熱心に対応いたしました。 「何が起きているのか」という解説については、Flatt Security の米内さんの記事が非常にわかりやすいです（本当に感謝いたします…！）。 https://diary.shift-js.info/trivy-compromise/ htt...

この記事では、弊社でサプライチェーン攻撃対策として社内にアナウンスやガイドライン化した項目の抜粋を紹介します。 昨今のSupply Chain Attackの激化、特にTrivy, LiteLLMの侵害による影響範囲の大きさを懸念し実施したものとなります。幸い直接の影響は出ていませんでしたが、どちらも社内で使っているというのあり、温度感高く対応しました。 何が起こってるの〜というのは、Flatt Securityの米内さんの記事がめっちゃわかりやすいです (本当にありがとうございます…！) https://diary.shift-js.info/trivy-compromise/ htt...