セキュアなライブラリ開発〜 OpenSSFで始めるOSSセキュリティの実践と活用〜

Transcript

1. セキュアなライブラリ開発 2024/5/24 Nextbeat Tech Bar: 第一回ライブラリ開発について考える会 Yuki Yamazaki 〜 OpenSSFで始めるOSSセキュリティの実践と活用〜

   bit.ly/secure-lib-20240524

2. 自己紹介 Yuki Yamazaki ( a.k.a. kamiazya) github.com/kamiazya @kamiazya 株式会社アイリッジ 　モバイルアプリ開発支援キット

   (SaaS+SDK)の開発保守運用 2 bit.ly/secure-lib-20240524

3. 趣味: npmライブラリ開発 github.com/ts-graphviz/ts-graphviz ts-graphviz スポンサー TypeScriptフレンドリーなGraphvizのラッパーのnpmライブラリを開発中 2,000,000+ DL/M opencollective.com/ts-graphviz 3

   bit.ly/secure-lib-20240524 ts-graphviz

4. 「依存関係の脆弱性」 Dependency (引用元: xkcd.com, CC-BY-NC-2.5 ライセンス) ライブラリ開発だからこそ セキュリティが重要 ライブラリは 多くのアプリケーションを支えている

   xkcd.com/2347 4 bit.ly/secure-lib-20240524

5. ライブラリのセキュリティ対策の悩み 🤔 このライブラリの セキュリティは大丈夫 ? ライブラリの セキュリティ対策って 何から始めればいい？ セキュリティに関する 知識がなく、評価できない

   5 bit.ly/secure-lib-20240524

6. OpenSSFとの出会い • 2020年にLinux Foundation傘下として設立された組織 • OSSの開発、保守、使用の持続的な安全確保を容易にすることを目指している • OSS自体とそのサプライチェーンを安全にするための取り組みを推進 github.com/ossf @openssf

   openssf.org 6 bit.ly/secure-lib-20240524

7. セキュリティ施策 3 選 ts-graphvizで実施した OSS利用者は、OSSセキュリティへの理解を深めることにより よりセキュアなソフトウェア開発をすることができる 他プロジェクトでも セキュリティ向上の きっかけとなる

8. 1. OpenSSF ガイド オープンソースの安全性を高めるための資料集 オープンソース開発者だけでなく、オープンソース 利用者にとっても参考になる内容 www.linuxfoundation.jp/resources/openssf-guides-jp github.com/ossf/wg-best-practices-os-developers パッケージ リポジトリの

   セキュリティの原則(英語) より安全なソフトウェア開発 のための簡潔なガイド オープンソース ソフトウェア を評価するための簡潔なガ イド CおよびC++の コンパイラ・オプション 強化ガイド パッケージ リポジトリの オープンソース プロジェクト として CVE 番号付与機関に なるためのガイド(英語) ソースコード管理プラットフォー ム設定のベストプラクティス npm ベストプラクティス ガイド セキュリティ研究者のための オープンソース ソフトウェア プロジェ クトと脆弱性の公表を調整するため のガイダンス オープンソース プロジェクト向けに 協調的脆弱性開示プロセスを実装 するためのガイド 8 bit.ly/secure-lib-20240524

9. 2. OpenSSF ベスト プラクティス バッジ github.com/coreinfrastructure/best-practices-badge www.bestpractices.dev/ja OSS開発者 Webアプリでベストプラクティスに従っていることを自己証明 できる

   基準を満たすように取り組むことで パッケージをより安全にすることができる セキュリティについての 複数の質問に回答する 9 bit.ly/secure-lib-20240524

10. 2. OpenSSF ベスト プラクティス バッジ github.com/coreinfrastructure/best-practices-badge www.bestpractices.dev/ja OSS利用者 プロジェクトがベストプラクティスに従っているかを評価 できる

    より安全なOSSを選択できるようになる 利用したいプロジェクトが 安全か確認する 10 bit.ly/secure-lib-20240524

11. 3. OpenSSF スコアカード セキュリティ リスクを包括的に自動チェックして評価する github.com/ossf/scorecard securityscorecards.dev CIと組み合わせることによりパッケージを継続的に評価 GitHub Actionsに10分未満でインストール可能

    GitHub Actionsに組み込むことで 自動的にレポートを公開 https://scorecard.dev/viewer/?uri=github.com/ts-graphviz/ts -graphviz 11 bit.ly/secure-lib-20240524

12. 他にもさまざまなプロジェクトを推進 12 bit.ly/secure-lib-20240524

13. まとめ OpenSSFの取り組みを活用することで 自信を持ってOSSのセキュリティ対策を進めることができた 13 利用者にとって より安全なライブラリを提供 bit.ly/secure-lib-20240524

14. OpenSSFの取り組みを活用し よりセキュアなソフトウェアを作ろう

15. ご清聴ありがとうございました 15

16. 資料について 〜 もっと学びたい方のために〜 スライド内にもリンク を設定しています スライド上部に公式サイトなどの リンク集を用意しています 16 bit.ly/secure-lib-20240524 bit.ly/secure-lib-20240524-s

    ※ スライド内のリンクは機能しません bit.ly/secure-lib-20240524-z スピーカーノート 公開予定 スライドリンク集

17. Q&A Q. OSS開発者は具体的などのような対策をするのですか？ A. 例えば、デフォルトブランチの保護や CIでのテスト、静的解析、Fuzzing、2段階認証の設定など多岐に渡 ります。 ここでは紹介しきれないため、今回紹介した ベストプラクティスバッチの取得などに取り組みながら対策し ていくのがおすすめです。OSS開発者でない方は、「より安全なソフトウェア開発のための簡潔なガイド

    」 などのガイドを読むと理解が深まるかと思います。 Q. ts-graphvizプロジェクトのセキュリティ対策の取組状況・進捗はどのくらいですか？ A. セキュリティに関してはゴールを設定するのが難しいため道半ばだと思います。 セキュリティ対策は一度で完了するものではなく 継続的な取り組みが必要 です。 例えば、ts-graphvizプロジェクトでは、現在もセキュリティ対策を進めていますが、セキュリティは常に進 化する脅威に対応するため、絶えず更新と改善をすることが必要です。 OpenSSFのガイドラインやツールを利用してセキュリティを強化していますが、完璧なセキュリティというも のは存在せず、リスクを管理し適切に対応する能力を持続的に向上させる ことが大切だと考えています。 17 bit.ly/secure-lib-20240524

18. 付録:「サプライチェーンの脅威」 ソース パッケージ ビルド 依存する ソフトウェア レビューの迂回 開発者 利用者 侵害された

    依存関係を使用 ソースリポジトリの侵害 ソースの 改ざん パッケージの 改ざん パッケージの 乗っ取り/改ざん (侵害されたパッケージを使用する ) ソースの脅威 ビルド・配布の脅威 依存の脅威 ビルドプロセスの 侵害 パッケージレジストリの侵害 参考: SLSA 1.0 (Supply chain threats) https://slsa.dev/spec/v1.0/threats-overview セキュリティに直接関係ないようなソフトウェアでも、サプライチェーンを含めると利用者に届くまでに 様々な脅威がある。プロセスとしてもソフトウェアを保護することが大切。 18 bit.ly/secure-lib-20240524

19. は、皆さまのサポートを必要としています！ 💰 🐛 🌟 GitHub でStarをつける バグ報告 金銭的支援 どのような形でも励みになりますので、よろしくおねがいします！ 󰳕

    開発に貢献する ts-graphviz 19