実務チェックリスト
開発ツール・OSSサプライチェーン確認チェックリスト
開発者向け拡張機能やnpmパッケージの侵害情報を受け取ったら、対象パッケージだけでなく、開発端末、CI、トークン、キャッシュ、監査ログをまとめて確認する。
- 対象者
- 開発者
- 緊急度
- 重大インシデント
- 領域
- 開発者セキュリティ
- 難易度
- 中級
- 所要時間
- 約13分
- 最終更新
- 2026-05-31
このページを現場で使う
チェック状態はこの端末のブラウザにだけ保存されます。メモや機密情報は保存しません。
確認進捗
完了 0/0いつ使うか
CISA KEV、GitHub Advisory、npm/PyPI/拡張機能マーケットプレイスの侵害情報、Secret Scanning通知、CIの不審実行を受け取った直後に使う。
誰が使うか
SREまたは開発基盤担当がリポジトリとCIを確認し、セキュリティ担当が端末・トークン・監査ログの確認を進める。
エスカレーション条件
対象期間に開発端末やCIで該当パッケージを利用、長期トークンが保存されていた、GitHub/npm/クラウドの不審利用がある場合は重大インシデントへ上げる。
何を確認するか
Nx ConsoleやTanStackのような開発ツール・OSSパッケージの侵害情報を受け取ったとき、拡張機能、npm、CI、トークン、監査ログを確認するチェックリスト。
なぜ重要か
開発ツールやOSSパッケージは正規の名前と配布経路で利用されるため、侵害時に気づきにくい。開発端末やCIには高価値な資格情報が集まりやすく、更新だけでは不十分になる。
見落とすと何が起きるか
対象パッケージの削除だけで終えると、すでに露出した可能性のあるGitHub、npm、クラウド、SaaSの長期トークンが残り、後続アクセスに使われる可能性がある。
確認前に準備するもの
- GitHub Advisory、CISA KEV、NVD、対象パッケージ名、対象バージョン、対象期間
- 対象リポジトリ、lockfile、CI実行履歴、開発端末、パッケージキャッシュ
- GitHub PAT、GitHub App、Actions Secrets、npm token、クラウド資格情報、SaaS APIキーの台帳
確認後に残すべき記録
- 確認した端末、リポジトリ、CI、lockfile、対象バージョンの有無
- 失効・再発行したトークン、権限変更、監査ログ確認範囲
- 未確認端末、残存キャッシュ、再ビルド対象、再確認日
利用有無と対象期間を確認する
資格情報を失効・再発行する
監査ログと不審操作を見る
復旧と再発防止を進める
よくある質問
開発ツール・OSSサプライチェーン確認チェックリストは何のためのチェックリスト?
開発ツールやOSSパッケージは正規の名前と配布経路で利用されるため、侵害時に気づきにくい。開発端末やCIには高価値な資格情報が集まりやすく、更新だけでは不十分になる。
いつ使う?
CISA KEV、GitHub Advisory、npm/PyPI/拡張機能マーケットプレイスの侵害情報、Secret Scanning通知、CIの不審実行を受け取った直後に使う。
誰が対応する?
SREまたは開発基盤担当がリポジトリとCIを確認し、セキュリティ担当が端末・トークン・監査ログの確認を進める。
確認漏れがあると何が起きる?
対象パッケージの削除だけで終えると、すでに露出した可能性のあるGitHub、npm、クラウド、SaaSの長期トークンが残り、後続アクセスに使われる可能性がある。
信頼性と注意事項
- 想定環境
- VS Codeなどの開発者向け拡張機能、npm/pnpm/yarn、GitHub、CI/CD、クラウド資格情報、SaaS APIキーを利用する開発環境
- 注意
- 悪性コードを実行して挙動を確認しない。公式情報、lockfile、監査ログ、端末管理、シークレット管理画面に基づいて防御側の確認に限定する。
- 最終更新日
- 2026-05-31