【ITニュース解説】Parámetro de seguridad/estabilidad con PNPM

システムエンジニアを目指す初心者がソフトウェア開発の世界に足を踏み入れる際、オープンソースのライブラリやフレームワークを利用する機会は非常に多い。これらのツールは、開発効率を飛躍的に向上させる反面、セキュリティ上のリスクも内包しているのが現状である。特に、JavaScript開発で広く使われるパッケージマネージャーであるNPMを介してインストールされるパッケージは、世界中の開発者によって日々公開され、利用されている。しかし、残念ながら、これらのパッケージの中には、悪意のある攻撃者によって改ざんされたり、意図的に悪質なコードが仕込まれたりするものが存在する。このような攻撃は、「ソフトウェアサプライチェーン攻撃」と呼ばれ、一度悪意のあるパッケージがプロジェクトに組み込まれると、そのプロジェクト全体や、さらにはそのソフトウェアを利用するユーザーにまで深刻な被害を及ぼす可能性がある。

近年、NPMパッケージに対する攻撃が頻繁に発生しており、開発コミュニティ全体にとって大きな課題となっている。新しいバージョンのパッケージがリリースされた直後に、そのバージョンが悪意のあるコードを含んでいることが後から判明し、急いで削除されるというケースも少なくない。このような状況では、常に最新のパッケージを利用しようとすると、かえってセキュリティリスクに晒される可能性が出てくる。そこで重要となるのが、パッケージのインストール方法やタイミングを工夫し、リスクを最小限に抑えるための対策である。

PNPMというパッケージマネージャーは、NPMと同じくJavaScriptのパッケージを管理するためのツールの一つだが、独自の工夫が凝らされており、セキュリティ面でも優れた機能を提供している。その中でも、特に注目すべき機能が「minimumReleaseAge（最小リリース経過時間）」という設定である。この機能は、その名前が示す通り、パッケージの特定のバージョンが公開されてから、最低限どのくらいの時間が経過していなければインストールを許可しないかを指定できるものである。つまり、あまりにも新しすぎるバージョンのパッケージのインストールを意図的に遅らせることで、潜在的なリスクを軽減することを目指している。

minimumReleaseAgeが提供するセキュリティメリットは明確である。悪意のある攻撃者が改ざんしたパッケージを公開した場合、それが悪意を含むことが検出されるまでには、通常ある程度の時間がかかる。セキュリティコミュニティやパッケージのメンテナーが悪意を発見し、該当するバージョンをNPMのレジストリから削除するまでには、数時間から数日かかることがある。minimumReleaseAgeを設定することで、この「検出と削除までの時間」を利用し、その期間内に公開された怪しいバージョンのパッケージを、私たちのプロジェクトが誤ってインストールしてしまうことを防ぐことができるのだ。この仕組みは、例えるならば、新しい商品が市場に出回る前に一定期間の品質検査を義務付けるようなもので、初期不良や危険な製品が消費者の手に渡るのを防ぐ役割を果たす。

では、このminimumReleaseAgeは具体的にどのように設定するのだろうか。この設定は、PNPMを使用するプロジェクトのルートディレクトリに置かれるpnpm-workspace.yamlというファイル、またはPNPMの専用設定ファイル内に記述することができる。設定値は「分」単位で指定する。例えば、新しいバージョンのパッケージが公開されてから最低でも3日間が経過していなければインストールを許可しない、と設定したい場合を考えてみよう。3日間は、時間に換算すると3日 × 24時間/日 × 60分/時間 で4320分となる。したがって、設定ファイルには次のように記述することになる。

minimumReleaseAge: 4320

このように設定すると、PNPMは依存関係を解決してパッケージをインストールする際、もし最新の安定バージョンが指定されたminimumReleaseAge（この場合は4320分、つまり3日間）よりも短い期間で公開されたものであれば、そのバージョンのインストールを一時的に見送る。代わりに、指定された期間よりも前に公開された最も新しいバージョン、あるいは既存のロックファイルに記録されたバージョンを優先してインストールする。これにより、最新リリースが悪意のあるものであるリスクを大幅に低減できる。

しかし、全てのパッケージに対してこの遅延を適用することが常に最適とは限らない。例えば、プロジェクトにとって非常に重要であり、開発チームがそのセキュリティを常に監視しているような特定のパッケージについては、リリース直後の最新バージョンをすぐに利用したいというケースもあるだろう。このような場合のために、PNPMは「minimumReleaseAgeExclude」という設定も用意している。この設定を使えば、minimumReleaseAgeの適用から除外したいパッケージの名前をリスト形式で指定できる。リストに記載されたパッケージについては、minimumReleaseAgeの設定に関わらず、PNPMは常に利用可能な最新バージョンをインストールしようと試みる。これにより、セキュリティと迅速な機能導入のバランスを、プロジェクトのニーズに合わせて調整することが可能になる。

このminimumReleaseAgeという機能は、PNPMのバージョン10.16.0以降で利用可能である点に注意が必要だ。したがって、このセキュリティ対策を導入する際は、使用しているPNPMのバージョンが要件を満たしているかを確認する必要がある。

推奨される設定値についてもいくつかパターンがある。 例えば、1440分（1日）は、多くのプロジェクトで一般的な推奨値とされている。この設定は、リリースから丸一日待つことで、悪意のあるパッケージが検出され削除されるための十分な時間を与える。これは、新しく公開されたバージョンが悪意を含む可能性が最も高いとされる期間をカバーしつつ、開発の迅速性もそこそこ保てるバランスの取れた設定と言える。 次に、60分から180分（1時間から3時間）という設定は、最新のバージョンを比較的迅速に利用したいが、それでもある程度の安全マージンは確保したいプロジェクトに適している。この短い待機時間でも、偶発的なバグや非常に明白な悪意が早期に発見される可能性はある。 最後に、0分という設定も可能だが、これはminimumReleaseAgeの機能を実質的に無効にするものである。最新バージョンをリリースと同時に常に使用したい場合に選択されるが、その分、セキュリティリスクは最も高まることを理解しておくべきである。この設定は、よほど迅速性が求められ、かつパッケージの安全性を他の手段で十分に確認できる場合にのみ検討すべきである。

システムエンジニアを目指す上で、このようなパッケージマネージャーのセキュリティ機能を理解し、適切に設定することは、堅牢なソフトウェアを開発するための基礎となる。minimumReleaseAgeは、単に便利な設定というだけでなく、現代のソフトウェア開発におけるセキュリティリスクに対処するための実用的な手段の一つである。プロジェクトのセキュリティ体制を強化し、安心して開発を進めるために、ぜひこの機能を活用してほしい。