Harness(ハーネス)Supply Chain Security(SCS)は、Shai-Hulud 2.0サプライチェーン攻撃への対策を強化している。2025年11月24日に発生したこの攻撃では、数百のNPMパブリッシャーアカウントが侵害され、広く使用されているパッケージがトロイの木馬化され、ワームのようなペイロードが組み込まれた。このマルウェアは、別のランタイムをインストールし、隠しスクリプトを実行し、開発者およびクラウドの認証情報を収集し、悪意のあるGitHub Actionsランナーを作成し、盗まれた認証情報を使って感染パッケージを再公開することで拡散した。その影響は甚大で、25,000を超えるGitHubリポジトリーが侵害され、約1,000のパッケージが影響を受け、エコシステム全体で数千の認証情報が盗まれた。
Harness SCSは、エンドツーエンドのSBOM(ソフトウェア部品表)の可視性、侵害されたNPMパッケージをブロックするためのポリシー適用、そして悪意のあるコンポーネントを早期に検出してパイプラインへの侵入を防ぐための完全なトレーサビリティーを提供するように設計されている。これは、ソフトウェアサプライチェーンを流れる全てのものを明確に可視化し、リスクの高いコンポーネントや信頼できないコンポーネントを早期に特定し、疑わしい依存関係を自動的にブロックするOpen Policy Agent(OPA)ポリシーを生成し、安全で検証済みのアーティファクトのみがパイプラインを進むようにすることで実現される。
Harness SCSは、Harnessパイプラインで構築された全てのリポジトリーとアーティファクトで機能する強力なオープンソースコンポーネント検索機能も提供する。これにより、サプライチェーン攻撃が明らかになった瞬間から、侵害された依存関係を即座に特定し、隔離できる。さらに、Harness AIは自然言語プロンプトを使ってインシデント対応プロセスを簡素化する。ユーザーは1回のプロンプトでこのOPAポリシーを使用し、全てのCI/ CDパイプラインで侵害されたNPMコンポーネントをブロックし、改ざんされたパッケージや悪意のあるパッケージが新規ビルドやデプロイメントに取り込まれるのを防ぎ、ソフトウェア開発ライフサイクル(SDLC)全体にわたって強力な予防管理を提供できる。
Harness SCSは、検知とブロックに加え、開発者による問題の追跡と修復も容易にする。本番環境と非本番環境の全てにおいて脆弱なコンポーネントを自動的に特定し、開発者に修正を割り当て、アップデートからデプロイまでの進捗状況を監視し、Jiraと同期することでシームレスなワークフローと継続的な追跡を実現する。これにより、脆弱性が見落とされることを防ぎ、Shai-Huludのようなマルウェアからサプライチェーンを守る。
Shai-Hulud 2.0のようなサプライチェーン攻撃に直面すると、リアルタイムの可視性、ポリシーの自動適用、そして継続的な修復追跡が不可欠であることは明らかだ。Harness SCSはこれらの機能を統合し、開発チームとセキュリティーチームが悪意のあるコンポーネントが使用されているカ所を迅速に特定し、将来のビルドへの侵入を阻止し、修正が完全に展開されるように支援する。適切な管理体制を整備することで、組織はリスクを軽減し、早期にリスクを抑制し、攻撃に対するソフトウェアサプライチェーンの整合性を強化できる。
出典:Harness
この製品の詳細については、Harness製品ページをご覧ください。
