Upgrade to Pro — share decks privately, control downloads, hide ads and more …

トレーニングコースLFD121-JP「セキュアソフトウェア開発」のご紹介

Linux Foundation Japan
PRO
March 07, 2023
Technology
0
47

 トレーニングコースLFD121-JP「セキュアソフトウェア開発」のご紹介

Linux Foundation 柴田次一氏
2023年2月28日開催 第1回 OSSセキュリティMeetup 講演資料

Linux Foundation Japan
PRO

March 07, 2023
Tweet

More Decks by Linux Foundation Japan

See All by Linux Foundation Japan
OSSセキュリティ強化の重要性とOpenSSFの概要
lfj
PRO
0
60
OpenSSF WGs 紹介 : Securing Software Repositories / Security Tooling
lfj
PRO
0
45
Best Practices for Open Source Developers Working Group 活動内容のご紹介
lfj
PRO
0
38
みんなの自動翻訳@TexTraのご紹介
lfj
PRO
0
57
Hyperledger Fabricドキュメント日本語翻訳グループにおけるTexTraの利用について
lfj
PRO
0
70
「コミュニティ」X「テクノロジー」で翻訳をReinvent(再発明)する ー コミュニティ翻訳をより楽しく、気合が入る作業にするための新提案
lfj
PRO
0
91
DPDK利用事例 : ソフトウェアルーター "Kamuee"
lfj
PRO
0
170
DPDK MEETUP TOKYO #1 DPDK INTRODUCTION
lfj
PRO
1
80
Collaborative Translation Efforts (CTE)
lfj
PRO
0
270

Other Decks in Technology

See All in Technology
チーム開発における様々なボトルネックの整理 / Organization of bottlenecks in Team Development
stefafafan
0
410
竹芝地区のデジタルツイン開発と3D人流シミュレーション開発
sbtechnight
PRO
0
320
アフリカの通信・教育問題をNTN×Edtechで解決!
sbtechnight
PRO
0
320
データベース超入門(座学編)
nomu
0
240
様々な環境へコマンドラインツールを提供する上での苦労とその対策 / YAPC::Kyoto 2023
konboi
0
110
マネジメント3.0モデル入門(120分版)
takufujii
11
2.6k
可読性を高めるためのコードレビューテクニック
sbtechnight
PRO
0
420
dbtでデータ品質活動
foursue
6
1.2k
ChatGPT: Todo sobre la última gran revolución en Internet
imanolteran
PRO
0
240
開幕LT
makamaka
0
340
最先端の質問応答技術の研究開発と迅速な実用化ーStudio Ousiaでの取り組みー
ikuyamada
2
380
[Keynote] Production is like ultra running: brutal, ungrateful, but worth every step
colinfay
0
110

Featured

See All Featured
How to name files
jennybc
48
76k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
44
14k
The Web Native Designer (August 2011)
paulrobertlloyd
77
2.3k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
32
7.2k
Atom: Resistance is Futile
akmur
256
24k
Designing for Performance
lara
600
65k
Fantastic passwords and where to find them - at NoRuKo
philnash
32
1.9k
KATA
mclloyd
12
10k
The Brand Is Dead. Long Live the Brand.
mthomps
48
3k
Why Our Code Smells
bkeepers
PRO
326
55k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
22
1.7k
Why You Should Never Use an ORM
jnunemaker
PRO
49
8k

Transcript

  1. トレーニングコース LFD121-JP
    「セキュア ソフトウェア開発」
    のご紹介
    28, Feb 2023
    Linux Foundation
    Tsuigkazu Shibata

    View Slide

  2. https://openssf.org/training/courses/

    View Slide

  3. ● LFD121はセキュアなソフト開発のためのHOWTOを
    説明したソフト開発者向けのコース
    ● 全てオンラインで提供される
    ● セキュアなソフト開発の基本に絞っている
    ● 所要時間 約14-18時間
    ● OpenSSF BestPractice WGの成果
    https://openssf.org/training/courses/

    View Slide

  4. https://training.linuxfoundation.org/training/developing-secure-software-lfd121-jp/

    View Slide

  5. David A Wheeler
    Linux Foundation,
    Director of Open Source
    Supply Chain Security.
    バージニア州フェアファック
    スにあるジョージ・メイソン
    大学(GMU)でセキュアソフ
    トウェアの開発の大学院課
    程を指導。

    View Slide

  6. LFD121-JP セキュア ソフトウェア開発の構成
    第1部 要件、設計、再利用
    第2部 実装
    第3部 検証と より専門的なトピック

    View Slide

  7. 第1部 要件、設計、再利用
    ● セキュリティの基本
    ○ セキュリティとは何か  CIAトライアド
    ■ セキュリティ要件 セキュリティ目標
    ○ プライバシーとは、法規制、米国、欧州 GDPR
    ● セキュア設計の原則
    ○ S&S論文で示されるセキュア設計の原則 (Jerome H. Saltzer & Michael D. Schroeder)
    ● 外部ソフトウェア利用
    ○ ソフトウェア再利用の基本
    ○ OSS選択時の評価
    ○ 再利用可能なソフトウェアのダウンロード
    ○ 再利用ソフトのupdate適用
    ○ ソフトウェア利用方法の update
    CIAトライアド
    機密性: Confidentiality
    完全性: Integrity
    可用性: Availability

    View Slide

  8. 第2部 実装
    ● 入力検証
    ○ 入力検証はどうあるべきか、 allow listing/good listing vs deny listing/bad listing
    ○ 数値とテキスト、unicode エンコーディング、正規表現でのチェックと ReDOS脆弱性
    ○ 内部形式変換(deserialization), CSV
    ● データの安全な処理
    ○ デフォルトのクレデンシャルは NG、ハードコードされたクレデンシャルもダメ
    ○ バッファオーバフロー、メモリの2重解放、解放後使用、解放漏れ
    ● 他のプログラムの呼び出し
    ○ SQLインジェクションの例、 OSコマンドインジェクション、エラーリターンなど
    ● 出力の送出
    ○ クロスサイトスクリプティング

    View Slide

  9. 第3部 検証と より専門的なトピック
    ● 検証
    ○ ソフトウェアの問題を検知するツール類:静的解析(コードスキャナ、
    ReDOS解析、暗号やパスワードのハード
    コード検知)、動的解析(テストカバレッジ、ファズテスト、アドレスサニタイザ)
    ● 脅威モデリング
    ○ STRIDE
    ● 暗号
    ○ AES
    ○ 使ってはいけないもの MD4, SHA-0
    ○ SHA-2(SHA-256, SHA-512), SHA-3 は広く使われている
    ○ Git のSHA‐1 の今後は?
    ○ RSA
    ● その他トピック
    ○ 脆弱性レポートの受信からCVEの取得、アップデートの公開までのプロセス
    ○ CICDパイプラインを含む開発配付環境の堅牢化

    View Slide

  10. 本コースについて
    ● 要件、設計から開発、検証に至るソフト開発の場面で必要な最低限のセキュリティ
    上の知識を習得することが可能。
    ● e-Learning コースなので時間のある時に自由に受講可能。また適宜問題が設定
    されていて知識の確認が可能。
    ● 開発チームに適用することで、チーム全体の知識・スキルの底上げが可能。
    ● さらにここで得た知識を元に、OpenSSF で実施する必要があるセキュリティ強化の
    活動を検討するベースにもなる。

    View Slide

  11. オープンソースでの展開
    ● David wheeler のGithub Repoにはオリジナルのテキストが公開済み。
    ● 日本語テキストは今後このRepoにマージする予定。
    ● 日本語テキストの翻訳上の問題や英語のテキストの課題については Github上で
    コメントや変更提案を提供可能。
    https://github.com/ossf/secure-sw-dev-fundamentals

    View Slide

  12. 今後、可能なこと
    ● トレーニングコースについては OpenSSF Best Practice WG にて議論可能。
    ● トレーニングコースの内容についてコントリビューションすることも可。
    ○ 日本語版の翻訳上の問題等について
    ○ 英語版の課題について
    ○ オープンソースの標準的なプロセスで実施
    ● 興味がある方は参加されては如何でしょうか?

    View Slide

  13. View Slide