npmとは【用語集詳細】
npm(Node Package Manager)は、GitHubが運営するNode.jsのためのパッケージマネージャです。
クロスプラットフォームのJavaScriptランタイム実行環境であるNode.jsを利用する開発者が、ソースコードモジュールパッケージを効率よく取り扱えるようにする目的で開始されたオープンソースプロジェクトです。
npmはコマンドラインクライアントあるいはオンラインデータベースを通じて利用可能します。Webアプリケーションやモバイルアプリケーション等に関するソースコードパッケージを集めたnpmレジストリにアクセスし、様々なプロジェクトをインストール可能です。
npmのような公開レポジトリは、近年サイバー攻撃に悪用される例が増加しています。
npm上に、悪意ある動作を持つパッケージや、マルウェアを挿入したパッケージ、正規のパッケージに似せた名前(タイポスクワッティング)の悪性パッケージが混在しており、ソフトウェア・サプライチェーンに対する脅威となっています。
こうした攻撃は組織的、計画的に行われており、2022年には、特定アカウントが700件超の悪性パッケージを短期間で公開する事象が確認されました。
オープンソースの脆弱性や依存関係に起因するリスクは、米国を含む各国政府が重点的に取り組んでいる課題です。
Googleは、オープンソースプロジェクトの脆弱性データベースであるOSVを公開し、npmパッケージの脆弱性情報を提供しています。
