Dependency on たかおの解説https://takao.blog/ja/tags/dependency/Recent content in Dependency on たかおの解説Hugo -- gohugo.iojaたかおの解説Sat, 13 Jun 2026 23:11:50 +0900依存ライブラリのセキュリティ監査:npm auditとSnykによる自動対策https://takao.blog/ja/web/security-dependency-vulnerabilities-npm-audit/Sat, 15 Nov 2025 00:00:00 +0900https://takao.blog/ja/web/security-dependency-vulnerabilities-npm-audit/<img src="https://takao.blog/img/thumnail.webp" alt="Featured image of post 依存ライブラリのセキュリティ監査:npm auditとSnykによる自動対策" /><h2 id="サプライチェーンのリスク">サプライチェーンのリスク </h2><p>現代の JavaScript アプリケーションは数万に及ぶ推移的依存関係(transitive dependencies)を抱えています。そのひとつひとつが攻撃ベクトルになり得ます。2018年の <strong>event-stream</strong> インシデントでは、悪意あるパッケージが人気ライブラリの依存関係に忍び込み、多くのプロジェクトに影響を与えました。この規模を手動でレビューすることは現実的ではありません。</p>