Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpenSSF WGs 紹介 : Securing Software Repositories / Security Tooling

Linux Foundation Japan
PRO
March 07, 2023
Technology
0
280

OpenSSF WGs 紹介 : Securing Software Repositories / Security Tooling

サイボウズ株式会社 吉川拓哉氏・竹村太一氏
2023年2月28日開催 第1回 OSSセキュリティMeetup 講演資料

Linux Foundation Japan
PRO

March 07, 2023
Tweet

More Decks by Linux Foundation Japan

See All by Linux Foundation Japan
SOSS Community Day North America 2024 セッション報告
lfj
PRO
0
190
SOSS Community Day Report
lfj
PRO
0
120
OpenSSF Overview - Improve the Security of Open Source Software for All
lfj
PRO
0
160
Secure OSS Community Day North America イベントレポート
lfj
PRO
0
150
イベントレポート OpenSSF Day Vancouver
lfj
PRO
0
190
OpenSSF Day / OSS NAにおけるSBOM、SLSAの動向
lfj
PRO
0
380
Open Source Summit NA / OpenSSF Day報告
lfj
PRO
0
220
AGL Japan Meetup BoF
lfj
PRO
0
120
Automotive Grade Linux (AGL) Meetup Japan - AGL All Member Meeting (AMM) in Berlin March 2023 Report -
lfj
PRO
0
290

Other Decks in Technology

See All in Technology
コンテナ・K8s研修 - 後半 Kubernetes 基礎&ハンズオン【MIXI 24新卒技術研修】
mixi_engineers
PRO
1
120
プレイドにおけるDatadog APMの活用方法
plaidtech
PRO
2
120
ソフトウェアエンジニアリングの知見を活かして データ基盤をいい感じにする on Snowflake [MIERUNE BBQ #10]
mtpooh
2
150
データベース研修 DB基礎【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
210
JBUG岡山 #6 WordCamp男木島の チームビルディング
takeshifurusato
0
150
スレットハンティングについて知っておきたいこと
hacket
0
130
20240724_cm_odyssey_hibiyatech
hiashisan
0
110
AOAI Dev Day - Opening Session
yoshidashingo
2
430
[I/O Extended Android 2024] What`s new in Android 2024
kyeongwan
0
220
Classmethod Odyssey 登壇資料
yamahiro
0
390
データベース研修 分析向けSQL入門【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
110
ACRiルーム最新情報とAMD GPUサーバーのご紹介
anjn
0
150

Featured

See All Featured
The Illustrated Children's Guide to Kubernetes
chrisshort
39
47k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
121
18k
Being A Developer After 40
akosma
72
580k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
19k
GitHub's CSS Performance
jonrohan
1026
450k
Git: the NoSQL Database
bkeepers
PRO
423
64k
Why Our Code Smells
bkeepers
PRO
332
56k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
78
15k
Facilitating Awesome Meetings
lara
46
5.8k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
105
6.8k
Building Applications with DynamoDB
mza
89
5.8k
BBQ
matthewcrist
82
9k

Transcript

  1. OpenSSF WGs 紹介 Securing Software Repositories, Security Tooling 2023年2月28日 サイボウズ株式会社

    吉川 拓哉、竹村 太一

  2. 自己紹介(吉川について) ▌cybozu.com クラウド基盤の運用を担当(運用本部のマネージャー) ▌クラウドセキュリティに関して監査業務なども担当 ▌前職では Linux カーネル開発なども

  3. 自己紹介(竹村について) ▌Neco チームで Kubernetes の開発と運用を担当 ▌22新卒 ▌学生時代は TEE に関する研究をしていました

  4. サイボウズと OpenSSF

  5. 今回実施した OpenSSF WGs 調査 ▌OpenSSF の年次レポートで概要調査 ▌ミーティングのアジェンダなどで活動状況を確認 ▌評価レポートや参考文献などを調査

  6. 【WG】 Security Tooling ▌Git Repo: github.com/ossf/wg-security-tooling ▌Group Lead: Josh Bressers

    ▌Group Membership: SBOM Everywhere group に15名

  7. アクティブな活動 ▌SBOM 関連の活動に集中 ▌22年 “SBOM Everywhere Special Interest Group (SIG)”

    立ち上げ ▌SPDX Python library へのファンディングを9月に承認 ◼ SBOM規格 ISO/IEC 5962:2021 に限らずツールやライブラリ開発も

  8. OpenSSF としての貢献ポイント ▌ライブラリ開発はコミュニティのボランティアが長年担ってきた ▌SPDX 最新版への対応やコードのメンテナンス性の改善が課題 ▌資金援助を通じて必要なスキルをもった人が貢献できるように

  9. 具体的な WG の活動の様子 ▌ML のアーカイブから月2回程のミーティングのアジェンダが辿れる ◼ SBOM Everywhere の目標設定 ◼

    ファンディング先についての提案 ◼ SBOM 関連ツールの評価作成 Evaluation of OSS SBOM Generators (EARLY DRAFT 編集中)

  10. Security Tooling に参加するなら ▌自社で SBOM のベストプラクティスを試してみる ▌ツールの課題などを洗い出し ▌WG ミーティングに参加してフィードバック ▌SPDX

    Python library の開発に参加 (ベストプラクティスについては後ほど)

  11. 【WG】 Securing Software Repositories ▌Git Repo: github.com/ossf/wg-securing-software-repos ▌Group Lead: Dustin

    Ingram, Google ▌Group Membership: 20~40名

  12. アクティブな活動 ▌OSS リポジトリ、レジストリのメンテナのために活動 ▌メンテナが問題やリスク・脅威について共有したり議論する場 Forum を提供 ◼ 22年は重要リポのセキュリティギャップや改善予定を調査した ◼ Sigstoreのようなセキュリティ技術について

    RFC 議論や提案も ⇒ PyPI の 2FA mandate, npm で Sigstore を使うなどの RFC 採択

  13. OpenSSFとしての貢献ポイント ▌重要な OpenSSF 技術の適用推進 ▌クリティカルなリポジトリでのベストプラクティスの遂行 ◼ 技術的ガイダンス、議論、ファンディングという形で貢献する

  14. Securing Software Repositories に参加するなら ▌日本からのコミットが多いリポで何か課題がないか考える ▌WG で直接扱えない小規模コミュニティへの対応

  15. 【おまけ】 SBOMs 参考資料の紹介 ▌ How to Generate an SBOM with

    Free Open Source Tools, by Keith Zantow https://anchore.com/sbom/how-to-generate-an-sbom-with-free-open- source-tools/ ▌ 8 top SBOM tools to consider, by Steven J. Vaughan-Nichols https://www.csoonline.com/article/3667483/8-top-sbom-tools-to- consider.html

  16. SBOMs ユーザー3分類 ▌ソフトウェア生産者 ◼ 提供ソフトウェアのビルドやメンテナンスのために ▌ソフトウェア調達者 ◼ 購入前の保証や価格交渉、事前の実装計画などに ▌ソフトウェアオペレーター ◼

    脆弱性管理や資産管理、ライセンスやコンプラチェックなどリスク管理

  17. SBOM 対応の推奨 ▌CI/CD パイプラインに組み込む ◼ 参考:GitHub Actions の sbom-action と

    scan-action ▌暗号化された署名と検証の導入 ▌Gartner 社のツールに関する推奨 ◼ ビルドプロセスでソースとイメージからの SBOMs 生成対応 ◼ 編集可能で可読なフォーマットへの対応 ◼ フォーマット変換や他ツールやAPIへの対応

  18. サイボウズの対応(検討中) ▌Kubernetes 基盤への移行後は SBOMs 対応しやすいかも ◼ CI/CD パイプラインに組み込んで共通の仕組みでスキャンも可能かも ◼ 現状は開発チームのリスト管理方法は統一されていない

    ◼ 一部チームで GitHub Actions での生成を試したりはしている ▌サイボウズが公開した OSS のメンテでは WG のベストプラクティスを参考に