OpenSSF Community Day Europe 2025イベントレポート

OpenSSF Community Day Europe 28 August 2025 Amsterdam, Netherland イベントレポート
Copyright © 2025 The Linux Foundation®. All rights reserved. The Linux Foundation has registered trademarks and uses trademarks. ルネサスエレクトロニクス株式会社余保束

アジェンダ・OpenSSF Community Day Europe2025概要・Summary＆所感・セッションの紹介・まとめ 2

OpenSSF Community Day Europe 2025概要  Open Source Summit Europe
2025 (OSSEU2025)@アムステルダムRAIのco- location イベントとしてOSSEU(8/25-27)の翌日8/28に同会場で開催  OpenSSF主催Security Open Source Softwareイベント  キーノート5セッションとブレイクアウト22セッション (1セッション約20分) セッション一覧と資料はイベントページに掲載動画はYoutubeのOpenSSFチャンネルで視聴可能 3

Summary&所感  参加者数は目算で100人前後。  SBOM*、CRAがホットトピック  複数のセッションでSBOMを活用した脆弱性管理について発表あり。  PQC****(耐量子コンピュータ暗号）へ
の対応も重要課題  CRAの規制をネガティブに捉えず、OSSセキュリティをグローバルに高める好機と捉え政策と協調していく事が重要 4 *SBOM : Software Bill of Material **PQC : Post-Quantum Cryptography

セッションの紹介１ • Keynote: Welcome + Opening Remarks (Adrianne Marcum :Chief
of Staff, OpenSSF) ◦ 過去1年のOpenSSF活動および成果の概要紹介 CRA関連の活動を行ってきた。今後もCRAに取り組む。成果：リサーチペーパーや教育プログラム・Report: Unaware and Uncertain: The Stark Realities of Cyber Resilience Act Readiness in Open Source ・Education: Understanding the EU Cyber Resilience Act (CRA) (LFEL1001)  本セッションの動画リンクはこちら 5

セッションの紹介２ • Keynote: Bridging policy and communities – OpenSSF involvement
in EU cyber policy (Madalin Neag :EU Policy Advisor, OpenSSF) ◦ EU Cyber PolicyへのOSSコミュニティの関わり方についての講演 ◦ CRAの概要およびCRAにおけるOSSスチュワードの位置づけ、CRAにおけるグローバルコラボレーションについて＜OSSスチュワード＞・CRAで初めて明確に非営利なオープンソースの担い手として定義された・OSSスチュワードに対しては軽微(Light touch)で調整された扱いで負荷が軽減されている・OSSスチュワードは法的に正式に認めらた事で、ある意味特権的な立場でイノベーションを推進可能  本セッションの資料はこちら、本セッションの動画リンクはこちら 6

セッションの紹介３ • Becoming a Good CRA Citizen (Adolfo Garcia :Principal
Engineer / Cofounder, Carabiner Systems) ◦ OSPSベースライン(Open Source Projcet Security Baseline)を活用しサプライチェーン全体で CRAの要件をどう満たしていくか・OSPSベースライン：オープンソースプロジェクトがセキュリティを強化するための実行可能な具体的な管理項目の集まり ◦ CRAを「嵐」と捉えるか「成長の機会」と捉えるか。成長の機会と捉えてOSSプロジェクトと製造業者（企業）が協力・協調する事で、製造業者の力（OSS プロジェクトへの貢献）を活用してOSSプロジェクトの成長が可能 ◦ 製造業者とOSSプロジェクトが協力・協調するには共通の認識を持って会話する事が必要。OSPSベースラインを活用  本セッションの資料はこちら、本セッションの動画リンクはこちら 7

セッションの紹介４ • Securing RSTUF To Secure Your Supply Chain (Kairo
De Araujo :Open Source SW Engineer, Eclipse Foundation, Helen Woeste :Communications and Community Manager, Open Source Technology Improvement Fund, Eric Sesterhenn :Principal Security Consultant, X41 D-Sec GmbH) ◦ RSTUFの紹介とRSTUFのセキュリティ監査の紹介 ◦ TUF（The Update Framework）は、ソフトウェアのアップデートプロセスを安全にするためのセキュリティフレームワークで、RSTUF（Repository Service for TUF）はTUFの複雑な暗号処理やメタデータ管理を抽象化し、開発者が既存のCI/CDや成果物リポジトリに統合しやすくして簡単に導入できるようにしたOSSツール ◦ OSTIF（Open Source Technology Improvement Fund)の支援でRSTUFのセキュリティ監査を実施し、RSTUF 1.0.0をリリース  本セッションの資料はこちら、本セッションの動画リンクはこちら 8

セッションの紹介５ • GUAC+Trustify: Building a Common Supply Chain Knowledge Graph
(Ben Cotton :Open Source Community Lead, Kusari, Dejan Bosanac :Software Engineer, Red Hat) ◦ GUACとTrustifyを統合してSBOMや脆弱性情報、ライセンス情報などの収集、分析を簡単に行える環境の構築を目指した活動 ◦ GUAC (Graph for Understanding Artifact Composition）はOpenSSFのプロジェクトとして提供されているツールでSBOMや脆弱性情報、ライセンス情報など可視化し分析できるツール ◦ Trustifyはed Hatが社内向けに開発・運用しているツールでセキュリティ管理やSBOMの管理に使用  本セッションの動画リンクはこちら 9

セッションの紹介６ • A New Frontier: The Future of Quantum-Safe Software
Supply Chains With Sigstore (Arthur Savage :Software Engineer, Red Hat) ◦ 量子コンピュータによる脅威：HN;DL (Harvest now; decrypt later, 今、盗んで後で復号) ◦ PQC (Post Quantum Cryptography: 耐量子コンピュータ暗号) への移行が急務 ◦ NISTが欧州委員会含め、韓国や中国も独自にPQCアルゴリズムを選定 ◦ 推奨アルゴリズムやレギュレーション変化が継続して起こると予想される。現時点でアルゴリズムを絞り込む事は出来ないが継続検討する事が重要  本セッションの資料はこちら、本セッションの動画リンクはこちら 10

セッションの紹介７ • SBOM at Scale: Securing Eclipse Foundation Projects With
Automated Supply-Chain Visibility (Mikaël Barbero :Head of Security, Eclipse Foundation) ◦ Eclipseの全プロジェクトにSBOMを導入する取組 ◦ プロジェクト毎にSBOMを作成・管理するのではなくEclipse全体で統一した仕組みで自動生成・管理・保管（公開）しようという試み ◦ 最終目標は全てのEclipse Foudationプロジェクトが各リリース毎にビルド時点でSBOMを自動生成し中央の公開レジストリに自動アップロード・保存出来るようにする事。 ◦ スモールスタート戦略。技術的負荷を軽減するためSBOMフォーマットはCycloneDXに限定して10+のプロジェクトで実践中。・Tooling Ecosystem for CycloneDX ・How to generate and upload SBOMs ・Early Adopters  本セッションの資料はこちら、本セッションの動画リンクはこちら 11

まとめ  CRA施行をポジティブに捉えOSSセキュリティの成長の好機として活用していく方が良い  CRAだけに目を奪われがちだが、量子コンピュータの脅威などへの備えも急務  OpenSSFチャンネルでは本日紹介した以外にも過去の動画もありますので、一度ご覧ください。
Open Source Security Foundation (OpenSSF) - Who We Are (youtube.com)  是非イベント＆コミュニティに参加ください！ 12

13 おまけ 13

LF Japan Community Days 大阪開催のお知らせ LF Japanエバンジェリストにより、初のコミュニティ全体イベント「LF Japan Community Days」が企画され、第1回を10月21日・22日の
2日間、大阪で開催することが決定しました。 LF Japan Community Days 大阪イベントページイベント概要日時 : 10月21日(火)・22日(水) 場所 : JEC 日本研修センター心斎橋参加登録 (無料) :登録はこちらから主催 : Linux Foundation 14

Ways to Participate Join a Working Group/Project Come to a
Meeting (see Public Calendar) Collaborate on Slack Contribute on GitHub Become an Organizational Member Keep up to date by subscribing to the OpenSSF Mailing List 15

Engage with us on social media X @openssf LinkedIn OpenSSF
Mastodon social.lfx.dev/@openssf YouTube OpenSSF Facebook OpenSSF 16

Legal Notice Copyright © Open Source Security Foundation®, The Linux
Foundation®, & their contributors. The Linux Foundation has registered trademarks and uses trademarks. All other trademarks are those of their respective owners. Per the OpenSSF Charter, this presentation is released under the Creative Commons Attribution 4.0 International License (CC-BY-4.0), available at <https://creativecommons.org/licenses/by/4.0/>. You are free to: • Share — copy and redistribute the material in any medium or format for any purpose, even commercially. • Adapt — remix, transform, and build upon the material for any purpose, even commercially. The licensor cannot revoke these freedoms as long as you follow the license terms: • Attribution — You must give appropriate credit , provide a link to the license, and indicate if changes were made . You may do so in any reasonable manner, but not in any way that suggests the licensor endorses you or your use. • No additional restrictions — You may not apply legal terms or technological measures that legally restrict others from doing anything the license permits. 17

Thank You 18

OpenSSF Community Day Europe 2025イベントレポート

OpenSSF Community Day Europe 2025イベントレポート

Linux Foundation Japan PRO

More Decks by Linux Foundation Japan

Other Decks in Technology

Featured

Transcript

OpenSSF Community Day Europe 28 August 2025 Amsterdam, Netherland イベントレポート

アジェンダ・OpenSSF Community Day Europe2025概要・Summary＆所感・セッションの紹介・まとめ 2

OpenSSF Community Day Europe 2025概要  Open Source Summit Europe

Summary&所感  参加者数は目算で100人前後。  SBOM*、CRAがホットトピック  複数のセッションでSBOMを活用した脆弱性管理について発表あり。  PQC****(耐量子コンピュータ暗号）へ

セッションの紹介１ • Keynote: Welcome + Opening Remarks (Adrianne Marcum :Chief

セッションの紹介２ • Keynote: Bridging policy and communities – OpenSSF involvement

セッションの紹介３ • Becoming a Good CRA Citizen (Adolfo Garcia :Principal

セッションの紹介４ • Securing RSTUF To Secure Your Supply Chain (Kairo

セッションの紹介５ • GUAC+Trustify: Building a Common Supply Chain Knowledge Graph

セッションの紹介６ • A New Frontier: The Future of Quantum-Safe Software

セッションの紹介７ • SBOM at Scale: Securing Eclipse Foundation Projects With

13 おまけ 13

LF Japan Community Days 大阪開催のお知らせ LF Japanエバンジェリストにより、初のコミュニティ全体イベント「LF Japan Community Days」が企画され、第1回を10月21日・22日の

Ways to Participate Join a Working Group/Project Come to a

Engage with us on social media X @openssf LinkedIn OpenSSF

Legal Notice Copyright © Open Source Security Foundation®, The Linux

Thank You 18