最近のShai-Hulud型サプライチェーン攻撃は、近年の侵害手法に根本的な変化が起きていることを示しています。組織そのものを直接侵害するのではなく、攻撃者は信頼されていないコード実行権限、資格情報、リリース権限が共存する個々の開発者環境を標的にすることが増えています。特にオープンソースのメンテナにとって、個人のラップトップは静かに重要なサプライチェーンの一層となってきました。 本講演は、企業のセキュリティチームや管理されたエンドポイント、集中監視がない環境でソフトウェアを公開するオープンソース／個人開発者に焦点を当てます。従来の企業向けセキュリティ指針は、インフラ、人員、管理体制の存在を前提としており、こうした前提が成り立たないスケールではソロのメンテナが既存のベストプラクティスを守っていても脆弱なまま残されてしまいます。 さらに、撃のメカニクスを再解説するのではなく、単一ユーザー環境に特化した防御モデルを紹介します。目指すのは完全な予防ではなく「生存力（survivability）」です。被害の拡大を抑え、侵害を早期に検知し、迅速かつ信用できる復旧を可能にすることが狙いです。アウトバウンド振る舞い、資格情報の信頼境界、リリースワークフロー、環境監査まわりに対して、個人が導入できる高シグナルなコントロールを解説します。ここで紹介する手法は企業のセキュリティプログラムを模倣することを目的としません。 参加者は、自身の開発環境を“本番システム”として考える方法、重要な箇所に意図的な摩擦（friction）を設ける方法、侵害を前提としつつもそれを常態化させないワークフロー設計の考え方を学べます。すべての例は特定ツールに依存せず、段階的に導入可能で、個人開発者でも現実的に実行できる内容です。 最後に本セッションは、組織的なセキュリティ支援を持たずにソフトウェアを公開するOSSメンテナ、ソロ開発者、ならびにそのような環境でのレジリエンス（回復力）を高めたいセキュリティエンジニアを対象としています。 それ以外の方も、ご興味がありましたらぜひご参加ください。