Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpenSSF WGs 紹介 : Securing Software Repositories / Security Tooling

Linux Foundation Japan
PRO
March 07, 2023
Technology
0
45

OpenSSF WGs 紹介 : Securing Software Repositories / Security Tooling

サイボウズ株式会社 吉川拓哉氏・竹村太一氏
2023年2月28日開催 第1回 OSSセキュリティMeetup 講演資料

Linux Foundation Japan
PRO

March 07, 2023
Tweet

More Decks by Linux Foundation Japan

See All by Linux Foundation Japan
OSSセキュリティ強化の重要性とOpenSSFの概要
lfj
PRO
0
60
Best Practices for Open Source Developers Working Group 活動内容のご紹介
lfj
PRO
0
38
トレーニングコースLFD121-JP「セキュアソフトウェア開発」のご紹介
lfj
PRO
0
47
みんなの自動翻訳@TexTraのご紹介
lfj
PRO
0
57
Hyperledger Fabricドキュメント日本語翻訳グループにおけるTexTraの利用について
lfj
PRO
0
70
「コミュニティ」X「テクノロジー」で翻訳をReinvent(再発明)する ー コミュニティ翻訳をより楽しく、気合が入る作業にするための新提案
lfj
PRO
0
91
DPDK利用事例 : ソフトウェアルーター "Kamuee"
lfj
PRO
0
170
DPDK MEETUP TOKYO #1 DPDK INTRODUCTION
lfj
PRO
1
80
Collaborative Translation Efforts (CTE)
lfj
PRO
0
270

Other Decks in Technology

See All in Technology
私達のチームのデプロイ戦略の軌跡 〜継続的デプロイの導入に至るまで〜
hamakou108
0
140
DevRel/Japan CONFERENCE 2023
1ftseabass
PRO
0
410
SNS投稿を使ってクラウド障害を検知してみた
sbtechnight
PRO
0
370
LINE Blockchain Developers APIではじめるWeb3
sbtechnight
PRO
0
340
技育祭2023春 ちゅらデータ講演資料
foursue
1
430
実質無料で GraphQL Gateway を手に入れる / low-cost GraphQL Gateway
ywada526
0
240
NIST SP800-63-4 IPD 63A: Identity Proofing 概要紹介
kthrtty
0
360
k8sを始める人に知ってもらいたい、Platform Engineeringの話
jacopen
1
330
ひとりでもチームでも! QAエンジニアのGIHOZ 活用方法をご紹介します
honamin09
0
100
大規模レガシーテストを 倒すための CI基盤の作り方 / #CICD2023
udzura
4
1.2k
ある日PHPerがベンチャー企業のデータ基盤を作ることになったら
ytsuzaki
0
130
権威DNSサービスへのDDoSと
ハイパフォーマンスなベンチマーカ / DNS Pseudo random subdomain attack and High performance Benchmarker
kazeburo
3
770

Featured

See All Featured
The Pragmatic Product Professional
lauravandoore
21
3.6k
Web development in the modern age
philhawksworth
197
9.6k
GraphQLとの向き合い方2022年版
quramy
22
10k
We Have a Design System, Now What?
morganepeng
37
6k
GitHub's CSS Performance
jonrohan
1021
430k
In The Pink: A Labor of Love
frogandcode
133
21k
5 minutes of I Can Smell Your CMS
philhawksworth
198
18k
4 Signs Your Business is Dying
shpigford
171
20k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
7
4.9k
Product Roadmaps are Hard
iamctodd
38
7.9k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
31
8.8k
For a Future-Friendly Web
brad_frost
166
7.9k

Transcript

  1. OpenSSF WGs 紹介
    Securing Software Repositories,
    Security Tooling
    2023年2月28日
    サイボウズ株式会社
    吉川 拓哉、竹村 太一

    View Slide

  2. 自己紹介(吉川について)
    ▌cybozu.com クラウド基盤の運用を担当(運用本部のマネージャー)
    ▌クラウドセキュリティに関して監査業務なども担当
    ▌前職では Linux カーネル開発なども

    View Slide

  3. 自己紹介(竹村について)
    ▌Neco チームで Kubernetes の開発と運用を担当
    ▌22新卒
    ▌学生時代は TEE に関する研究をしていました

    View Slide

  4. サイボウズと OpenSSF

    View Slide

  5. 今回実施した OpenSSF WGs 調査
    ▌OpenSSF の年次レポートで概要調査
    ▌ミーティングのアジェンダなどで活動状況を確認
    ▌評価レポートや参考文献などを調査

    View Slide

  6. 【WG】 Security Tooling
    ▌Git Repo: github.com/ossf/wg-security-tooling
    ▌Group Lead: Josh Bressers
    ▌Group Membership: SBOM Everywhere group に15名

    View Slide

  7. アクティブな活動
    ▌SBOM 関連の活動に集中
    ▌22年 “SBOM Everywhere Special Interest Group (SIG)” 立ち上げ
    ▌SPDX Python library へのファンディングを9月に承認
    ◼ SBOM規格 ISO/IEC 5962:2021 に限らずツールやライブラリ開発も

    View Slide

  8. OpenSSF としての貢献ポイント
    ▌ライブラリ開発はコミュニティのボランティアが長年担ってきた
    ▌SPDX 最新版への対応やコードのメンテナンス性の改善が課題
    ▌資金援助を通じて必要なスキルをもった人が貢献できるように

    View Slide

  9. 具体的な WG の活動の様子
    ▌ML のアーカイブから月2回程のミーティングのアジェンダが辿れる
    ◼ SBOM Everywhere の目標設定
    ◼ ファンディング先についての提案
    ◼ SBOM 関連ツールの評価作成
    Evaluation of OSS SBOM Generators (EARLY DRAFT 編集中)

    View Slide

  10. Security Tooling に参加するなら
    ▌自社で SBOM のベストプラクティスを試してみる
    ▌ツールの課題などを洗い出し
    ▌WG ミーティングに参加してフィードバック
    ▌SPDX Python library の開発に参加
    (ベストプラクティスについては後ほど)

    View Slide

  11. 【WG】 Securing Software Repositories
    ▌Git Repo: github.com/ossf/wg-securing-software-repos
    ▌Group Lead: Dustin Ingram, Google
    ▌Group Membership: 20~40名

    View Slide

  12. アクティブな活動
    ▌OSS リポジトリ、レジストリのメンテナのために活動
    ▌メンテナが問題やリスク・脅威について共有したり議論する場 Forum を提供
    ◼ 22年は重要リポのセキュリティギャップや改善予定を調査した
    ◼ Sigstoreのようなセキュリティ技術について RFC 議論や提案も
    ⇒ PyPI の 2FA mandate,
    npm で Sigstore を使うなどの RFC 採択

    View Slide

  13. OpenSSFとしての貢献ポイント
    ▌重要な OpenSSF 技術の適用推進
    ▌クリティカルなリポジトリでのベストプラクティスの遂行
    ◼ 技術的ガイダンス、議論、ファンディングという形で貢献する

    View Slide

  14. Securing Software Repositories に参加するなら
    ▌日本からのコミットが多いリポで何か課題がないか考える
    ▌WG で直接扱えない小規模コミュニティへの対応

    View Slide

  15. 【おまけ】 SBOMs 参考資料の紹介
    ▌ How to Generate an SBOM with Free Open Source Tools, by Keith Zantow
    https://anchore.com/sbom/how-to-generate-an-sbom-with-free-open-
    source-tools/
    ▌ 8 top SBOM tools to consider, by Steven J. Vaughan-Nichols
    https://www.csoonline.com/article/3667483/8-top-sbom-tools-to-
    consider.html

    View Slide

  16. SBOMs ユーザー3分類
    ▌ソフトウェア生産者
    ◼ 提供ソフトウェアのビルドやメンテナンスのために
    ▌ソフトウェア調達者
    ◼ 購入前の保証や価格交渉、事前の実装計画などに
    ▌ソフトウェアオペレーター
    ◼ 脆弱性管理や資産管理、ライセンスやコンプラチェックなどリスク管理

    View Slide

  17. SBOM 対応の推奨
    ▌CI/CD パイプラインに組み込む
    ◼ 参考:GitHub Actions の sbom-action と scan-action
    ▌暗号化された署名と検証の導入
    ▌Gartner 社のツールに関する推奨
    ◼ ビルドプロセスでソースとイメージからの SBOMs 生成対応
    ◼ 編集可能で可読なフォーマットへの対応
    ◼ フォーマット変換や他ツールやAPIへの対応

    View Slide

  18. サイボウズの対応(検討中)
    ▌Kubernetes 基盤への移行後は SBOMs 対応しやすいかも
    ◼ CI/CD パイプラインに組み込んで共通の仕組みでスキャンも可能かも
    ◼ 現状は開発チームのリスト管理方法は統一されていない
    ◼ 一部チームで GitHub Actions での生成を試したりはしている
    ▌サイボウズが公開した OSS のメンテでは WG のベストプラクティスを参考に

    View Slide