Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

トレーニングコースLFD121-JP「セキュアソフトウェア開発」のご紹介

Avatar for Linux Foundation Japan Linux Foundation Japan PRO
March 07, 2023
Technology
0
480

 トレーニングコースLFD121-JP「セキュアソフトウェア開発」のご紹介

Linux Foundation 柴田次一氏
2023年2月28日開催 第1回 OSSセキュリティMeetup 講演資料

Avatar for Linux Foundation Japan

Linux Foundation Japan PRO

March 07, 2023
Tweet

More Decks by Linux Foundation Japan

See All by Linux Foundation Japan
Discussion for CISA 2025 Minimum Elements for an SBOM
Avatar for Linux Foundation Japan lfj
PRO
0
120
OpenSSF Community Day Europe 2025イベントレポート
Avatar for Linux Foundation Japan lfj
PRO
0
83
Open Source Summit Europe 2025イベントレポート
Avatar for Linux Foundation Japan lfj
PRO
0
86
OpenSSFツール紹介 : protobom
Avatar for Linux Foundation Japan lfj
PRO
0
100
OpenSSF Community Day Japan イベントレポート
Avatar for Linux Foundation Japan lfj
PRO
0
86
Open Source Summit NA 参加報告
Avatar for Linux Foundation Japan lfj
PRO
0
79
Open Source Summit North America 2025 参加 Report
Avatar for Linux Foundation Japan lfj
PRO
0
110
Introducing the OpenSSF SBOM Everyware SIG (2025/1-2025/4)
Avatar for Linux Foundation Japan lfj
PRO
0
240
CRA (Cyber Resilience Act) 第13条と第14条におけるOSSスチュワードの義務
Avatar for Linux Foundation Japan lfj
PRO
0
650

Other Decks in Technology

See All in Technology
Kubernetes Multi-tenancy: Principles and Practices for Large Scale Internal Platforms
Avatar for hhiroshell hhiroshell
0
120
寫​了​幾年​ Code,​然後​呢?​軟體​工程師​必須重新​認識​的​ DevOps
Avatar for Cheng-Wei Chen cheng_wei_chen
1
1.1k
[JAWS-UG 横浜支部 #91]DevOps Agent vs CloudWatch Investigations -比較と実践-
Avatar for sh_fk2 sh_fk2
1
240
モダンデータスタック (MDS) の話とデータ分析が起こすビジネス変革
Avatar for suto sutotakeshi
0
440
Uncertainty in the LLM era - Science, more than scale
Avatar for Gael Varoquaux gaelvaroquaux
0
810
MapKitとオープンデータで実現する地図情報の拡張と可視化
Avatar for ZOZO Developers zozotech
PRO
1
120
ガバメントクラウド利用システムのライフサイクルについて
Avatar for 高橋広和 techniczna
0
180
AI活用によるPRレビュー改善の歩み ― 社内全体に広がる学びと実践
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
1
190
形式手法特論:CEGAR を用いたモデル検査の状態空間削減 #kernelvm / Kernel VM Study Hokuriku Part 8
Avatar for y_taka_23 ytaka23
2
450
【AWS re:Invent 2025速報】AIビルダー向けアップデートをまとめて解説!
Avatar for みのるん minorun365
4
480
今からでも間に合う!速習Devin入門とその活用方法
Avatar for Izumu KUSUNOKI ismk
1
550
Overture Maps Foundationの3年を振り返る
Avatar for Toru Mori moritoru
0
160

Featured

See All Featured
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
370
20k
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.7k
Code Review Best Practice
Avatar for Trisha Gee trishagee
74
19k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
25
1.6k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
359
30k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
52
3.5k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
135
9.7k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
659
61k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.3k
Scaling GitHub
Avatar for Zach Holman holman
464
140k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
51
51k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k

Transcript

  1. トレーニングコース LFD121-JP 「セキュア ソフトウェア開発」 のご紹介 28, Feb 2023 Linux Foundation

    Tsuigkazu Shibata

  2. https://openssf.org/training/courses/

  3. • LFD121はセキュアなソフト開発のためのHOWTOを 説明したソフト開発者向けのコース • 全てオンラインで提供される • セキュアなソフト開発の基本に絞っている • 所要時間 約14-18時間

    • OpenSSF BestPractice WGの成果 https://openssf.org/training/courses/

  4. https://training.linuxfoundation.org/training/developing-secure-software-lfd121-jp/

  5. David A Wheeler Linux Foundation, Director of Open Source Supply

    Chain Security. バージニア州フェアファック スにあるジョージ・メイソン 大学(GMU)でセキュアソフ トウェアの開発の大学院課 程を指導。

  6. LFD121-JP セキュア ソフトウェア開発の構成 第1部 要件、設計、再利用 第2部 実装 第3部 検証と より専門的なトピック

  7. 第1部 要件、設計、再利用 • セキュリティの基本 ◦ セキュリティとは何か  CIAトライアド ▪ セキュリティ要件 セキュリティ目標 ◦ プライバシーとは、法規制、米国、欧州

    GDPR • セキュア設計の原則 ◦ S&S論文で示されるセキュア設計の原則 (Jerome H. Saltzer & Michael D. Schroeder) • 外部ソフトウェア利用 ◦ ソフトウェア再利用の基本 ◦ OSS選択時の評価 ◦ 再利用可能なソフトウェアのダウンロード ◦ 再利用ソフトのupdate適用 ◦ ソフトウェア利用方法の update CIAトライアド 機密性: Confidentiality 完全性: Integrity 可用性: Availability

  8. 第2部 実装 • 入力検証 ◦ 入力検証はどうあるべきか、 allow listing/good listing vs deny

    listing/bad listing ◦ 数値とテキスト、unicode エンコーディング、正規表現でのチェックと ReDOS脆弱性 ◦ 内部形式変換(deserialization), CSV • データの安全な処理 ◦ デフォルトのクレデンシャルは NG、ハードコードされたクレデンシャルもダメ ◦ バッファオーバフロー、メモリの2重解放、解放後使用、解放漏れ • 他のプログラムの呼び出し ◦ SQLインジェクションの例、 OSコマンドインジェクション、エラーリターンなど • 出力の送出 ◦ クロスサイトスクリプティング

  9. 第3部 検証と より専門的なトピック • 検証 ◦ ソフトウェアの問題を検知するツール類:静的解析(コードスキャナ、 ReDOS解析、暗号やパスワードのハード コード検知)、動的解析(テストカバレッジ、ファズテスト、アドレスサニタイザ) • 脅威モデリング

    ◦ STRIDE • 暗号 ◦ AES ◦ 使ってはいけないもの MD4, SHA-0 ◦ SHA-2(SHA-256, SHA-512), SHA-3 は広く使われている ◦ Git のSHA‐1 の今後は? ◦ RSA • その他トピック ◦ 脆弱性レポートの受信からCVEの取得、アップデートの公開までのプロセス ◦ CICDパイプラインを含む開発配付環境の堅牢化

  10. 本コースについて • 要件、設計から開発、検証に至るソフト開発の場面で必要な最低限のセキュリティ 上の知識を習得することが可能。 • e-Learning コースなので時間のある時に自由に受講可能。また適宜問題が設定 されていて知識の確認が可能。 • 開発チームに適用することで、チーム全体の知識・スキルの底上げが可能。

    • さらにここで得た知識を元に、OpenSSF で実施する必要があるセキュリティ強化の 活動を検討するベースにもなる。

  11. オープンソースでの展開 • David wheeler のGithub Repoにはオリジナルのテキストが公開済み。 • 日本語テキストは今後このRepoにマージする予定。 • 日本語テキストの翻訳上の問題や英語のテキストの課題については

    Github上で コメントや変更提案を提供可能。 https://github.com/ossf/secure-sw-dev-fundamentals

  12. 今後、可能なこと • トレーニングコースについては OpenSSF Best Practice WG にて議論可能。 • トレーニングコースの内容についてコントリビューションすることも可。

    ◦ 日本語版の翻訳上の問題等について ◦ 英語版の課題について ◦ オープンソースの標準的なプロセスで実施 • 興味がある方は参加されては如何でしょうか?
  13. None