メインコンテンツへスキップ
防御・対策

Trusted Publishing

Trusted Publishing

パッケージ公開時に長期保存したAPIトークンを使わず、CI/CDのOIDC IDなど短命な証明を用いて発行元を確認する方式。

リポジトリやワークフローをパッケージレジストリ側へ事前登録し、実行時に得た短命なIDで公開権限を判断します。固定トークンの漏えいリスクを下げられますが、ワークフロー変更権限と承認ルールの保護は引き続き必要です。

  • 長期APIトークンの保管を減らせる
  • OIDCの発行元・対象・ワークフロー条件を厳密に照合する
  • CI設定を変更できる権限自体を最小化する

よくある質問

Trusted Publishingとは?

パッケージ公開時に長期保存したAPIトークンを使わず、CI/CDのOIDC IDなど短命な証明を用いて発行元を確認する方式。

Trusted Publishingについて詳しく知るには?

リポジトリやワークフローをパッケージレジストリ側へ事前登録し、実行時に得た短命なIDで公開権限を判断します。固定トークンの漏えいリスクを下げられますが、ワークフロー変更権限と承認ルールの保護は引き続き必要です。

Trusted Publishingのポイントは?

長期APIトークンの保管を減らせる OIDCの発行元・対象・ワークフロー条件を厳密に照合する CI設定を変更できる権限自体を最小化する

← 用語集一覧に戻る
ESC