クイックスタート
Takumi Guard は、悪意あるパッケージが開発環境に到達する前にブロックします。透過プロキシとして動作し、コード変更は�不要です。レジストリ設定を一度行うだけで利用を開始できます。
利用ティアの選択
Takumi Guard には 4 つの利用ティアがあります。用途・運用範囲・予算に応じて選んでください。
| ティア | 料金 | 必要なもの |
|---|---|---|
| 匿名 | 無料 | レジストリ URL の設定のみ |
| 匿名(メール認証) | 無料 | メールアドレス登録(tg_anon_ トークンが発行される) |
| 組織 | 有償 | Shisho Cloud 組織 + Guard を有効化した 基本サブスクリプション + tg_org_ トークン |
| 組織(GitHub Action) | 無料 | Shisho Cloud 組織 + flatt-security/setup-takumi-guard-* Action(GitHub Actions OIDC) |
それぞれの位置付けと、どんな場合に推奨されるかを以下にまとめます。
匿名
レジストリ URL を切り替えるだけで、悪意あるパッケージのインストールをブロックする最小構成です。Shisho Cloud アカウントもメール登録も不要で、まったく無料で始められます。
この利用ティアは、以下のような方におすすめです。
- 個人開発で、ひとまず悪意あるパッケージのインストールだけは防ぎたい方
- 業務 PC への正式導入前に、検証用 PC で挙動を確認したい方
なお、ダウンロード追跡や、過去にダウンロードしたパッケージへの侵害通知は利用できません。これらが必要であれば、次の 匿名(メール認証) ティア以上を選んでください。
匿名(メール認証)
メールアドレスを登録し、発行された tg_anon_ トークンを使う構成です。匿名利用のブロック機能に加えて、登録メールアドレスでのインストール追跡と、自分宛の侵害通知(メール)が利用できます。Shisho Cloud アカウントは不要で、依然として無料です。
この利用ティアは、以下のような方におすすめです。
- 個人開発者の方(個人での利用には、もっともおすすめできる構成です)
- 自分の開発機でダウンロードしたパッケージに、後から悪意があると判明した場合に通知を受け取りたい方
なお、インストール履歴や通知は登録メールアドレスに紐付くため、組織やチームでまとめて履歴を管理することはできません。
組織
Shisho Cloud 組織で発行する tg_org_ トークンを使う構成です。組織全体のインストール状況を 追跡 でき、組織�宛の侵害通知(Slack や Webhook など)と、Shisho Cloud コンソール上でのトークン・ユーザー管理が利用できます。利用には Guard を有効化した 基本サブスクリプション が必要です。
この利用ティアは、以下のような方におすすめです。
- 社内の複数開発者が利用する開発端末を、ひとつのコンソールから一元管理したい方
- 組織宛にインストール履歴のレポートや侵害通知を集約したい方
- 端末配布の自動化(MDM 等)と組み合わせて利用したい方(管理ツールによる一括セットアップ を参照)
利用開始の流れは以下のとおりです。事前に Shisho Cloud 組織と、その組織に紐づく 基本サブスクリプション があれば進められます。
- Shisho Cloud コンソールで Guard 機能を有効化する:Guard セクションを開き、機能をオンに切り替えます。
info
機能を有効化した時点では追加料金は発生しません。Guard の有償分は、発行したトークンを介したパッケージ取得実績に応じた従量課金として加算されます。料金体系の詳細は Guard の料金 を参照してください。
- 組織ユーザートークン(
tg_org_)を発行する:Guard > トークン から発行します。発行・管理の詳細は トークンの管理 を参照してください。 - 各端末・各 CI で設定する:発行したトークンを使って、下記の 各端末への導入 のとおりにパッケージマネージャーを設定します。
組織(GitHub Action)
Shisho Cloud 組織と GitHub Actions の OIDC を連携し、flatt-security/setup-takumi-guard-* Action 経由で短期トークンを取得して利用する構成です。CI 環境に長期シークレットを持つ必要がなく、ジョブ実行ごとに新しい短期トークンが発行されます。
この利用ティアは、以下のような方におすすめです。
- GitHub Actions の CI から Takumi Guard を利用したい方
- 長期トークンを Secrets に保存したくない方
- 「組織」ティアと組み合わせて、端末側は
tg_org_トークン、CI 側は OIDC、という使い分けをしたい方
なお、GitHub Actions 以外の CI(CircleCI 等)では、現状この OIDC 連携を直接利用できません。CircleCI などからは、組織で発行した tg_org_ トークンを Secrets として渡す方法でご利用ください。
各端末への導入
各エコシステム・各環境(ローカル開発・GitHub Actions など)への具体的な導入手順は、エコシステム別のクイックスタートを参照してください。
- npm をセットアップする →(npm、pnpm、yarn、bun)
- PyPI をセットアップする →(pip、uv、poetry)
- RubyGems をセットアップする →(Bundler)