10 15 20 25 30 cdCon Cloud+Container Digital Trust Open AI + Data Forum SupplyChainSecurityCon OSPOCon Zephyr Open Source… NA2025 EU2024 0 5 10 15 20 25 ContainerCon CloudOpen Digital Trust Open AI + Data Forum SupplyChainSecurity… OSPOCon Zephyr Open Source… ⚫ EU2024でDigital Trust、Zepherが新設されたが、NA2025ではDigital Trustが削除 ⚫ SupplyChainSecurityがcd(Continuous Delivery)Conに集約された ⚫ AI+Dataは変わらず盛り上がっている
EU CRA (Cyber Resilience Act) Simplified and Non-scary for OSS Contributors” Roman Zhukov, Red Hat ⚫ “Keynote: The Agent2Agent (A2A) Protocol” Mike Smith, Staff Software Engineer, Google ⚫ “Beyond the Bot: Building Secure and Resilient AI Agents With Open Source” Mihai Maruseac, Google & Sarah Evans, Dell Technologies ⚫ “Using SBOMs for Linux Foundation Projects” Jeff Shapiro, The Linux Foundation & Gary O‘Neall, Source Auditor Inc. ⚫ “Implementing Zero Trust in Government Settings: Strategies, Challenges, and Best Practices” Steve Taylor, DeployHub, Inc ⚫ “SLSA Dependency Track Update” Meder Kydyraliev, Google; Adrian Diglio, Microsoft & Tom Bedford, Bloomberg ⚫ “Evangelizing Security in India: Fears, Tears, and a Billion Deaf Ears” Ram Iyengar, Linux Foundation OpenSSF Day OpenSSF Day OpenSSF Day
Making EU CRA (Cyber Resilience Act) Simplified and Non-scary for OSS Contributors - Roman Zhukov, Red Hat ① ...This Regulation does not apply to natural or legal persons who contribute with source code to products with digital elements qualifying as free and open-source software [FOSS] that are not under their responsibility. ...only free and open-source software [FOSS] made available on the market, and therefore supplied for distribution or use in the course of a commercial activity, should fall within the scope of this Regulation.”. ⚫ FOSS (free and open-source software) はCRAの対象なのか? ・序文18によると、FOSSは基本的には対象外 ・もしも…誤って販売されたら? 有料のサポートサービスを提供することになったら? 他のOSSに使われて料金を徴収することになったら?
(Cyber Resilience Act) Simplified and Non-scary for OSS Contributors - Roman Zhukov, Red Hat ② ⚫ どうしてRed HatがCRAについて話しているのか? ・Red Hatはエンタープライズ向けOSSソリューションの提供者 ・Red Hat社員は、業務とは直結しないプロジェクトのContributerにもなっている →サポートするので一緒にCRA対応をがんばりましょう! ⚫ CRA関連のWG紹介 ・ORC(Open Regulatory Compliance) WG :Eclipse Foundation ・Global Cyber Policy WG :OpenSSF ・OSS Security Baseline :OpenSSF ⚫ 伝えたいこと ・CRAを理由にOSSへの貢献や支援を止めないで! ・CRAはOSSの品質とセキュリティの向上を促すものだから、今あるベストプラクティスに沿ってすぐに行動して! ・CRAのためにコミュニティに参加して!
Building Secure and Resilient AI Agents With Open Source - Mihai Maruseac, Google & Sarah Evans, Dell Technologies ① OpenSSF Day Agentのセキュリティ確保はすぐに取り組むべき課題 OpenSSF AI/MLで議論中 ⚫ ゼロトラストの原則(NIST 800-207 Zero Trust Architecture)はAI Agentにも適用される ⚫ Agentのセキュリティ確保のための課題 ①Complexity ・データの場所を把握し、そのデータへのアクセス権限を適用・管理することは容易ではない ・構築しているシステムのユースケースのアーキテクチャ、脅威を理解する必要がある ②Maturity ・技術がまだ開発段階のため、セキュリティよりも機能が優先されていることがある ③Legacy ・これまで解決できていないセキュリティ問題は依然として残っており、AI Agentで悪化する可能性がある ・データのラベル付け/分類などのセキュリティ課題への対応を継続する必要がある
Building Secure and Resilient AI Agents With Open Source - Mihai Maruseac, Google & Sarah Evans, Dell Technologies ② OpenSSF Day ⚫ Agentアプリケーションのためのセキュリティ原則 OWASP ⚫ Agentを使うときにはサプライチェーンセキュリティが大事 ・Anthropic won‘t fix a bug in its SQLite MCP server:MCPサーバのバグについての報告書 ⚫ Agentのセキュリティ確保のために ※具体的な手法についての言及なし ✓ 「Agent card」に署名 ・Agentの機能に関するすべての文書が改ざん防止されていることを確認する ✓ AgentとMCPメッセージに署名 ・通信の途中で第三者Agentが不正に介入する「中間者攻撃 (Man-in-the-Middle)」を防止 ・Agentが本来許可されていない操作を間違って実行してしまう「confused-deputy」問題にも注意 ✓ AgentのためのDNS ・どのエージェントがそのタスクに最も適しているかを見つけ出せるようにする ✓ 認証されていないデータへのアクセスを防止 ・Zanzibar (ReBAC)のようなアクセス制御を用いる ・Agentの役割やドキュメントとの関係性に基づくembeddingのフィルタリングをする
Linux Foundation Projects - Jeff Shapiro, The Linux Foundation & Gary O‘Neall, Source Auditor Inc. ① ⚫ Source SBOM vs Build SBOM Source SBOM ・ソースコードから作成するSBOM ・ビルドの前のソースコードのため、実際のビルド結果(実行ファイルや ライブラリ)とは直接結び付かない ・ソフトウェア部品分析(SCA)ツールなどで手動実行される Build SBOM ・依存関係やバージョンが明確 ・CI/CDパイプラインの一部として自動実行される ・実際に生成されたバイナリやライブラリと紐付け可能 Build SBOMは開発チーム(リリースエンジニアなど)が作るべき LFの数百ものプロジェクトでBuild SBOMを作るのは困難なため、 ほとんどのプロジェクトではSource SBOMのみを作成している LFのプロジェクトにおける、CISA/NTIAに最低限準拠した”Source SBOM”の定義を紹介 将来的にはすべてのLFプロジェクトでSBOM自動化を目指す https://www.ntia.gov/files/ntia/publications/sbom_formats_survey-version-2021.pdf
Linux Foundation Projects - Jeff Shapiro, The Linux Foundation & Gary O‘Neall, Source Auditor Inc. ② ⚫ Source vs Dependencies Source Code Analysis(一部自動化、一部手動) ・ソースファイル、オリジナルコード、コピーされたコード、オープンソースコードなど ・通常はソースリポジトリ内に存在 Dependency Analysis(自動スキャン) ・サードパーティコード(ライブラリ、バイナリ、アーティファクト)を分析し、プロジェクトのメタデータを解析 ・通常はパッケージマネージャーのライセンス情報を使用 ・直接的依存関係と推移的依存関係の両方 ライセンス遵守と統一されたSBOMを確立するためには両方が必要!
Linux Foundation Projects - Jeff Shapiro, The Linux Foundation & Gary O‘Neall, Source Auditor Inc. ④ ⚫ Scaffold ・LFがソースコードのスキャンに使用するツール ・FOSSologyと統合され、ソースコードのスキャンを実施 ・レポートとSPDXを生成
in Government Settings: Strategies, Challenges, and Best Practices - Steve Taylor, DeployHub, Inc ① ⚫ ゼロトラストとは ・誰が、どこで、どのように実行しているかを継続的に検証することで、侵入者を防ぐ ⚫ 政府の動き ・EO14028の改訂版が出るらしい…? ・改訂版だと自己評価の部分が削除される…? ⚫ 脅威は数多く存在している ・CVEの報告は年々増えている ・AI技術の登場で一年以内に倍増する、という予測もある ⚫ クラウド関連の取り組みが活性化 ・Microsoft Sovereign CloudはEUではいいものだろう(EUにとっていい名前だね、という皮肉つき) ・米国民以外の人はどのようなアクセス権を得られるのか、どのように報告するのか ゼロトラスト実現のためのツールやガイドラインの紹介 米国政府にも動きがありそう
in Government Settings: Strategies, Challenges, and Best Practices - Steve Taylor, DeployHub, Inc ② ⚫ 使うべきツール ・Cosign:署名 ・in-toto:証明書 ・Trivy:SBOMと脆弱性 ・Syft:SBOM ・Grype:脆弱性 ⚫ ゼロトラストに関する資料 ・NIST SP 800-207 Zero Trust Model ・CISA Zero Trust Maturity Model ・DoD Zero Trust Strategy ・CI/CD Cybersecurity SIG (CDF) ⚫ ゼロトラスト実現のために ・まずはアイデンティティ基盤を作る ・早期にガバナンスを確立する
India: Fears, Tears, and a Billion Deaf Ears - Ram Iyengar, Linux Foundation ② OpenSSF Day ⚫ セキュリティ教育 ・LFが公開している教育コンテンツへの反響が大きい ・LinkedInなどで公開できる資格や修了証明書がインドのコミュニティでは魅力的 ⚫ 政策立案 ・他の国の取り組みを模倣しながら、インドに合わせたローカライズをしようとしている ・最近、デジタルプライバシーデータ保護法(DPDP法)が制定された ⚫ インドは目覚めつつある! ・政府を含めて意識が変わってきた ・KubeConやオープンソースサミットの開催を予定 ・まずはセキュリティを第一に