Upgrade to Pro — share decks privately, control downloads, hide ads and more …

トレーニングコースLFD121-JP「セキュアソフトウェア開発」のご紹介

Avatar for Linux Foundation Japan Linux Foundation Japan
PRO
March 07, 2023
Technology
0
450

 トレーニングコースLFD121-JP「セキュアソフトウェア開発」のご紹介

Linux Foundation 柴田次一氏
2023年2月28日開催 第1回 OSSセキュリティMeetup 講演資料
Avatar for Linux Foundation Japan

Linux Foundation Japan
PRO

March 07, 2023
Tweet

More Decks by Linux Foundation Japan

See All by Linux Foundation Japan
Introducing the OpenSSF SBOM Everyware SIG (2025/1-2025/4)
Avatar for Linux Foundation Japan lfj
PRO
0
130
CRA (Cyber Resilience Act) 第13条と第14条におけるOSSスチュワードの義務
Avatar for Linux Foundation Japan lfj
PRO
0
140
CRA (Cyber Resilience Act) 概要
Avatar for Linux Foundation Japan lfj
PRO
0
150
OpenSSF Scorecardの紹介
Avatar for Linux Foundation Japan lfj
PRO
1
230
SOSS Fusion セッション報告
Avatar for Linux Foundation Japan lfj
PRO
0
91
SOSS Community Day Japan イベントレポート
Avatar for Linux Foundation Japan lfj
PRO
0
90
Open Source Summit Japan 2024 / Japan SBOM Summit 2024 Wrap up
Avatar for Linux Foundation Japan lfj
PRO
0
91
SOSS Community Day EUROPE イベントレポート
Avatar for Linux Foundation Japan lfj
PRO
0
65
OpenSSF 10分クッキング ー 10分でOpenSSFを解説
Avatar for Linux Foundation Japan lfj
PRO
0
73

Other Decks in Technology

See All in Technology
標準技術と独自システムで作る「つらくない」SaaS アカウント管理 / Effortless SaaS Account Management with Standard Technologies & Custom Systems
Avatar for Yuya Takeyama yuyatakeyama
3
1.2k
AIの最新技術&テーマをつまんで紹介&フリートークするシリーズ #1 量子機械学習の入門
Avatar for Takahiro Esaki tkhresk
0
140
なぜ私はいま、ここにいるのか? #もがく中堅デザイナー #プロダクトデザイナー
Avatar for 弁護士ドットコム bengo4com
0
410
2年でここまで成長!AWSで育てたAI Slack botの軌跡
Avatar for iwamot iwamot
PRO
4
700
Fabric + Databricks 2025.6 の最新情報ピックアップ
Avatar for Ryoma Nagata ryomaru0825
1
130
“社内”だけで完結していた私が、AWS Community Builder になるまで
Avatar for nagisa_53 nagisa53
1
380
~宇宙最速~ 2025年AWS Summit レポート
Avatar for sleepingsato satodesu
1
1.8k
エンジニア向け技術スタック情報
Avatar for 株式会社カウシェ kauche
1
250
Clineを含めたAIエージェントを 大規模組織に導入し、投資対効果を考える / Introducing AI agents into your organization
Avatar for Masato Ishigaki / 石垣雅人 i35_267
4
1.6k
解析の定理証明実践@Lean 4
Avatar for H Segawa dec9ue
0
180
ハノーバーメッセ2025座談会.pdf
Avatar for AIxIoTビジネス共創ラボ iotcomjpadmin
0
160
第9回情シス転職ミートアップ_テックタッチ株式会社
Avatar for forester3003 forester3003
0
230

Featured

See All Featured
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
331
22k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
110k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
PRO
20
1.3k
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
246
12k
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
48
5.4k
KATA
Avatar for Megan Lloyd mclloyd
29
14k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
71
11k
Fireside Chat
Avatar for paigeccino paigeccino
37
3.5k
Navigating Team Friction
Avatar for Lara Hogan lara
187
15k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1031
460k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.4k
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
614
210k

Transcript

  1. トレーニングコース LFD121-JP 「セキュア ソフトウェア開発」 のご紹介 28, Feb 2023 Linux Foundation

    Tsuigkazu Shibata

  2. https://openssf.org/training/courses/

  3. • LFD121はセキュアなソフト開発のためのHOWTOを 説明したソフト開発者向けのコース • 全てオンラインで提供される • セキュアなソフト開発の基本に絞っている • 所要時間 約14-18時間

    • OpenSSF BestPractice WGの成果 https://openssf.org/training/courses/

  4. https://training.linuxfoundation.org/training/developing-secure-software-lfd121-jp/

  5. David A Wheeler Linux Foundation, Director of Open Source Supply

    Chain Security. バージニア州フェアファック スにあるジョージ・メイソン 大学(GMU)でセキュアソフ トウェアの開発の大学院課 程を指導。

  6. LFD121-JP セキュア ソフトウェア開発の構成 第1部 要件、設計、再利用 第2部 実装 第3部 検証と より専門的なトピック

  7. 第1部 要件、設計、再利用 • セキュリティの基本 ◦ セキュリティとは何か  CIAトライアド ▪ セキュリティ要件 セキュリティ目標 ◦ プライバシーとは、法規制、米国、欧州

    GDPR • セキュア設計の原則 ◦ S&S論文で示されるセキュア設計の原則 (Jerome H. Saltzer & Michael D. Schroeder) • 外部ソフトウェア利用 ◦ ソフトウェア再利用の基本 ◦ OSS選択時の評価 ◦ 再利用可能なソフトウェアのダウンロード ◦ 再利用ソフトのupdate適用 ◦ ソフトウェア利用方法の update CIAトライアド 機密性: Confidentiality 完全性: Integrity 可用性: Availability

  8. 第2部 実装 • 入力検証 ◦ 入力検証はどうあるべきか、 allow listing/good listing vs deny

    listing/bad listing ◦ 数値とテキスト、unicode エンコーディング、正規表現でのチェックと ReDOS脆弱性 ◦ 内部形式変換(deserialization), CSV • データの安全な処理 ◦ デフォルトのクレデンシャルは NG、ハードコードされたクレデンシャルもダメ ◦ バッファオーバフロー、メモリの2重解放、解放後使用、解放漏れ • 他のプログラムの呼び出し ◦ SQLインジェクションの例、 OSコマンドインジェクション、エラーリターンなど • 出力の送出 ◦ クロスサイトスクリプティング

  9. 第3部 検証と より専門的なトピック • 検証 ◦ ソフトウェアの問題を検知するツール類:静的解析(コードスキャナ、 ReDOS解析、暗号やパスワードのハード コード検知)、動的解析(テストカバレッジ、ファズテスト、アドレスサニタイザ) • 脅威モデリング

    ◦ STRIDE • 暗号 ◦ AES ◦ 使ってはいけないもの MD4, SHA-0 ◦ SHA-2(SHA-256, SHA-512), SHA-3 は広く使われている ◦ Git のSHA‐1 の今後は? ◦ RSA • その他トピック ◦ 脆弱性レポートの受信からCVEの取得、アップデートの公開までのプロセス ◦ CICDパイプラインを含む開発配付環境の堅牢化

  10. 本コースについて • 要件、設計から開発、検証に至るソフト開発の場面で必要な最低限のセキュリティ 上の知識を習得することが可能。 • e-Learning コースなので時間のある時に自由に受講可能。また適宜問題が設定 されていて知識の確認が可能。 • 開発チームに適用することで、チーム全体の知識・スキルの底上げが可能。

    • さらにここで得た知識を元に、OpenSSF で実施する必要があるセキュリティ強化の 活動を検討するベースにもなる。

  11. オープンソースでの展開 • David wheeler のGithub Repoにはオリジナルのテキストが公開済み。 • 日本語テキストは今後このRepoにマージする予定。 • 日本語テキストの翻訳上の問題や英語のテキストの課題については

    Github上で コメントや変更提案を提供可能。 https://github.com/ossf/secure-sw-dev-fundamentals

  12. 今後、可能なこと • トレーニングコースについては OpenSSF Best Practice WG にて議論可能。 • トレーニングコースの内容についてコントリビューションすることも可。

    ◦ 日本語版の翻訳上の問題等について ◦ 英語版の課題について ◦ オープンソースの標準的なプロセスで実施 • 興味がある方は参加されては如何でしょうか?
  13. None