Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpenSSF WGs 紹介 : Securing Software Repositories...

Linux Foundation Japan
PRO
March 07, 2023
Technology
0
330

OpenSSF WGs 紹介 : Securing Software Repositories / Security Tooling

サイボウズ株式会社 吉川拓哉氏・竹村太一氏
2023年2月28日開催 第1回 OSSセキュリティMeetup 講演資料

Linux Foundation Japan
PRO

March 07, 2023
Tweet

More Decks by Linux Foundation Japan

See All by Linux Foundation Japan
SOSS Community Day EUROPE イベントレポート
lfj
PRO
0
25
OpenSSF 10分クッキング ー 10分でOpenSSFを解説
lfj
PRO
0
33
Open Source Summit EU 参加レポート
lfj
PRO
0
35
OSS Security Meetup Tokyo Oct 3, 2024
lfj
PRO
0
37
SLSA概要紹介 Supply-chain Levels for Software Artifacts
lfj
PRO
0
45
SOSS Community Day North America 2024 セッション報告
lfj
PRO
0
230
SOSS Community Day Report
lfj
PRO
0
160
OpenSSF Overview - Improve the Security of Open Source Software for All
lfj
PRO
0
200
Secure OSS Community Day North America イベントレポート
lfj
PRO
0
170

Other Decks in Technology

See All in Technology
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.8k
スクラム成熟度セルフチェックツールを作って得た学びとその活用法
coincheck_recruit
1
140
TanStack Routerに移行するのかい しないのかい、どっちなんだい! / Are you going to migrate to TanStack Router or not? Which one is it?
kaminashi
0
580
AWS Media Services 最新サービスアップデート 2024
eijikominami
0
200
Taming you application's environments
salaboy
0
180
Incident Response Practices: Waroom's Features and Future Challenges
rrreeeyyy
0
160
SSMRunbook作成の勘所_20241120
koichiotomo
2
130
OCI 運用監視サービス 概要
oracle4engineer
PRO
0
4.8k
元旅行会社の情シス部員が教えるおすすめなre:Inventへの行き方 / What is the most efficient way to re:Invent
naospon
2
340
スクラムチームを立ち上げる〜チーム開発で得られたもの・得られなかったもの〜
ohnoeight
2
350
iOS/Androidで同じUI体験をネ イティブで作成する際に気をつ けたい落とし穴
fumiyasac0921
1
110
OCI Security サービス 概要
oracle4engineer
PRO
0
6.5k

Featured

See All Featured
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
Agile that works and the tools we love
rasmusluckow
327
21k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
28
2k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
250
21k
Designing on Purpose - Digital PM Summit 2013
jponch
115
7k
We Have a Design System, Now What?
morganepeng
50
7.2k
Being A Developer After 40
akosma
86
590k
Building Your Own Lightsaber
phodgson
103
6.1k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.5k

Transcript

  1. OpenSSF WGs 紹介 Securing Software Repositories, Security Tooling 2023年2月28日 サイボウズ株式会社

    吉川 拓哉、竹村 太一

  2. 自己紹介(吉川について) ▌cybozu.com クラウド基盤の運用を担当(運用本部のマネージャー) ▌クラウドセキュリティに関して監査業務なども担当 ▌前職では Linux カーネル開発なども

  3. 自己紹介(竹村について) ▌Neco チームで Kubernetes の開発と運用を担当 ▌22新卒 ▌学生時代は TEE に関する研究をしていました

  4. サイボウズと OpenSSF

  5. 今回実施した OpenSSF WGs 調査 ▌OpenSSF の年次レポートで概要調査 ▌ミーティングのアジェンダなどで活動状況を確認 ▌評価レポートや参考文献などを調査

  6. 【WG】 Security Tooling ▌Git Repo: github.com/ossf/wg-security-tooling ▌Group Lead: Josh Bressers

    ▌Group Membership: SBOM Everywhere group に15名

  7. アクティブな活動 ▌SBOM 関連の活動に集中 ▌22年 “SBOM Everywhere Special Interest Group (SIG)”

    立ち上げ ▌SPDX Python library へのファンディングを9月に承認 ◼ SBOM規格 ISO/IEC 5962:2021 に限らずツールやライブラリ開発も

  8. OpenSSF としての貢献ポイント ▌ライブラリ開発はコミュニティのボランティアが長年担ってきた ▌SPDX 最新版への対応やコードのメンテナンス性の改善が課題 ▌資金援助を通じて必要なスキルをもった人が貢献できるように

  9. 具体的な WG の活動の様子 ▌ML のアーカイブから月2回程のミーティングのアジェンダが辿れる ◼ SBOM Everywhere の目標設定 ◼

    ファンディング先についての提案 ◼ SBOM 関連ツールの評価作成 Evaluation of OSS SBOM Generators (EARLY DRAFT 編集中)

  10. Security Tooling に参加するなら ▌自社で SBOM のベストプラクティスを試してみる ▌ツールの課題などを洗い出し ▌WG ミーティングに参加してフィードバック ▌SPDX

    Python library の開発に参加 (ベストプラクティスについては後ほど)

  11. 【WG】 Securing Software Repositories ▌Git Repo: github.com/ossf/wg-securing-software-repos ▌Group Lead: Dustin

    Ingram, Google ▌Group Membership: 20~40名

  12. アクティブな活動 ▌OSS リポジトリ、レジストリのメンテナのために活動 ▌メンテナが問題やリスク・脅威について共有したり議論する場 Forum を提供 ◼ 22年は重要リポのセキュリティギャップや改善予定を調査した ◼ Sigstoreのようなセキュリティ技術について

    RFC 議論や提案も ⇒ PyPI の 2FA mandate, npm で Sigstore を使うなどの RFC 採択

  13. OpenSSFとしての貢献ポイント ▌重要な OpenSSF 技術の適用推進 ▌クリティカルなリポジトリでのベストプラクティスの遂行 ◼ 技術的ガイダンス、議論、ファンディングという形で貢献する

  14. Securing Software Repositories に参加するなら ▌日本からのコミットが多いリポで何か課題がないか考える ▌WG で直接扱えない小規模コミュニティへの対応

  15. 【おまけ】 SBOMs 参考資料の紹介 ▌ How to Generate an SBOM with

    Free Open Source Tools, by Keith Zantow https://anchore.com/sbom/how-to-generate-an-sbom-with-free-open- source-tools/ ▌ 8 top SBOM tools to consider, by Steven J. Vaughan-Nichols https://www.csoonline.com/article/3667483/8-top-sbom-tools-to- consider.html

  16. SBOMs ユーザー3分類 ▌ソフトウェア生産者 ◼ 提供ソフトウェアのビルドやメンテナンスのために ▌ソフトウェア調達者 ◼ 購入前の保証や価格交渉、事前の実装計画などに ▌ソフトウェアオペレーター ◼

    脆弱性管理や資産管理、ライセンスやコンプラチェックなどリスク管理

  17. SBOM 対応の推奨 ▌CI/CD パイプラインに組み込む ◼ 参考:GitHub Actions の sbom-action と

    scan-action ▌暗号化された署名と検証の導入 ▌Gartner 社のツールに関する推奨 ◼ ビルドプロセスでソースとイメージからの SBOMs 生成対応 ◼ 編集可能で可読なフォーマットへの対応 ◼ フォーマット変換や他ツールやAPIへの対応

  18. サイボウズの対応(検討中) ▌Kubernetes 基盤への移行後は SBOMs 対応しやすいかも ◼ CI/CD パイプラインに組み込んで共通の仕組みでスキャンも可能かも ◼ 現状は開発チームのリスト管理方法は統一されていない

    ◼ 一部チームで GitHub Actions での生成を試したりはしている ▌サイボウズが公開した OSS のメンテでは WG のベストプラクティスを参考に