開発者体験を向上させるセキュアなプライベートパッケージレジストリ構築術 Tweet

Proposal: (不採択)

プライベートパッケージとは、各言語のパッケージマネージャーで提供されているレジストリを使わずに公開する、組織内で利用可能なパッケージのことです。STORESでは、このようなプライベートパッケージを活用して、複数のプロダクトを横断して効率的に開発・運用しています。

従来は、バージョン管理システム標準で利用できるレジストリを用いてきました。この場合、各開発者が個別にアクセストークンを管理し、定期的なローテーションを行ったり、CI/CDパイプラインでの設定を行う必要がありました。この方法では、セキュリティリスクの管理が難しく、またパッケージマネージャー特有の設定が必要かつ、共通化出来ていませんでした。

そこで、一度発行したアクセストークンに依存しない新しいアプローチを導入しました。このアプローチにより、開発者は普段からトークンの認証を意識することなく、プライベートパッケージを利用できるようになり、開発者体験を向上させることができました。本セッションでは、パッケージマネージャーの認証の現状と、パブリッククラウドのマネージドサービスを上手く使いながら解決した方法を中心に説明します。