Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OpenSSF 10分クッキング ー 10分でOpenSSFを解説
Search
Linux Foundation Japan
PRO
October 06, 2024
Technology
0
51
OpenSSF 10分クッキング ー 10分でOpenSSFを解説
Linux Foundation 福安徳晃氏
2024年10月3日開催 OSSセキュリティMeetup 講演資料
Linux Foundation Japan
PRO
October 06, 2024
Tweet
Share
More Decks by Linux Foundation Japan
See All by Linux Foundation Japan
CRA (Cyber Resilience Act) 概要
lfj
PRO
0
17
OpenSSF Scorecardの紹介
lfj
PRO
0
20
SOSS Fusion セッション報告
lfj
PRO
0
66
SOSS Community Day Japan イベントレポート
lfj
PRO
0
60
Open Source Summit Japan 2024 / Japan SBOM Summit 2024 Wrap up
lfj
PRO
0
58
SOSS Community Day EUROPE イベントレポート
lfj
PRO
0
43
Open Source Summit EU 参加レポート
lfj
PRO
0
64
OSS Security Meetup Tokyo Oct 3, 2024
lfj
PRO
0
58
SLSA概要紹介 Supply-chain Levels for Software Artifacts
lfj
PRO
0
150
Other Decks in Technology
See All in Technology
OSS構成管理ツールCMDBuildを使ったAWSリソース管理の自動化
satorufunai
0
640
AWS Well-Architected Frameworkで学ぶAmazon ECSのセキュリティ対策
umekou
2
140
AI Agent時代なのでAWSのLLMs.txtが欲しい!
watany
2
220
2/18 Making Security Scale: メルカリが考えるセキュリティ戦略 - Coincheck x LayerX x Mercari
jsonf
0
210
Aurora PostgreSQLがCloudWatch Logsに 出力するログの課金を削減してみる #jawsdays2025
non97
1
200
ESXi で仮想化した ARM 環境で LLM を動作させてみるぞ
unnowataru
0
180
AIエージェント入門
minorun365
PRO
31
18k
生成AI “再”入門 2025年春@WIRED TUESDAY EDITOR'S LOUNGE
kajikent
0
110
AIエージェント時代のエンジニアになろう #jawsug #jawsdays2025 / 20250301 Agentic AI Engineering
yoshidashingo
8
3.7k
"TEAM"を導入したら最高のエンジニア"Team"を実現できた / Deploying "TEAM" and Building the Best Engineering "Team"
yuj1osm
1
170
Iceberg Meetup Japan #1 : Iceberg and Databricks
databricksjapan
0
370
MIMEと文字コードの闇
hirachan
2
1.4k
Featured
See All Featured
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
160
15k
Automating Front-end Workflow
addyosmani
1368
200k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
21
2.5k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
[RailsConf 2023] Rails as a piece of cake
palkan
53
5.3k
How GitHub (no longer) Works
holman
314
140k
A Tale of Four Properties
chriscoyier
158
23k
BBQ
matthewcrist
87
9.5k
Code Review Best Practice
trishagee
67
18k
Into the Great Unknown - MozCon
thekraken
35
1.6k
Designing on Purpose - Digital PM Summit 2013
jponch
117
7.1k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Transcript
Copyright © 2024 The Linux Foundation®. All rights reserved. The
Linux Foundation has registered trademarks and uses trademarks. OpenSSF 10分クッキング 10分でOpenSSFを解説
マクロトレンド ➔ OSSセキュリティの重要性 ◆ デマンドサイドのOSSの価値は8 Trillion(1200兆円)以上であると言われている。また世界のビジ ネスで利用されているソフトウェアコードのうち70−80%程度(Lines of Codeベース)がOSSであ るとも推定されている
◆ OSSプロジェクトは世界で数百万以上存在するが、事業で頻繁に利用されているOSSはそのうち一 握り。つまりみんなが同じコードを使っている ◆ よって、重要なOSSの一つに脆弱性が見つかった場合の経済的損失は極めて大きい ➔ 各国の対策(超)サマリー ◆ US – CISAを中心にコミュニティと連携。CISA自身がOSSセキュリティプラクティスを実践すると ともに、OSSをセキュアにする取り組みに対する資金的な支援も実施。 ◆ EU – CRA (Cyber Resilience Act)および 各国でCRA施行を念頭においた準備進行中(例:ドイツ の Secure Open Source Life Sycle ◆ 日本 – SBOMの手引書の作成
OpenSSF対策サマリー ➔ いろいろ行っている対策をわかりやすく分類すると以下の3つ 1. コミュニティ開発をセキュアに:評価手法、無償ツール、無償の教育 2. ソフトウェアサプライチェーン管理 : SBOM、SLSAなど 3.
脆弱性の発見と報告、およびその手法の確立:発見ツール、報告ガイド
イベント 4
5
6
• 日時:2024年11月1日 (金) • 会場:国際文化会館 • 参加登録 (無料):こちらから • 定員
: 80名 予定セッション • SBOMフォーマット:SPDX, CycloneDX • SBOMとOSSマネジメント • SBOMとサプライチェーンマネジメント • SBOMの業界事例:自動車業界における SBOM • SBOMに関する政策 *SBOM Summit 終了後に続けてSLSA Workshopを開催 7
8 Please enjoy the meetup! 8