2026年5月13日

Dependabotの導入

最近、以下のようなOSSに対するハッキングの話題をよく見かける。

Mini Shai-Hulud 第二波の概要と対応指針（TanStack Router を含む 200 超の侵害） - GMO Flatt Security Blog

2026年5月12日、Mini Shai-Hulud キャンペーンの第二波が発生しました。TanStack Router を起点に、UiPath、Mistral AI SDK、DraftLab 等を含む 199 以上の npm パッケージが侵害されています。本稿執筆時点で、侵害可能性は継続しています。第一波（4月29日〜30日）では SAP CAP 系・intercom-client・lightning の 6 パッケージが対象でしたが、第二波では CI/CD パイプラインの侵害によって有効な SLSA Provenance（Build Level 3）付きで悪性バージョンが公開されるなど、…

blog.flatt.tech

対策としてDependabotを導入し、脆弱性があったりマルウェアが含まれているパッケージを自動で検出できるようにした。

自分でも新しいライブラリをインストールしたりアップデートする際は毎回事前に安全性を確認するよう気をつける必要がある。

また、ローカル汚染を防ぐためにDockerコンテナや仮想環境も使えるようになりたい。