Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpenSSF Community Day Europe 2025イベントレポート

OpenSSF Community Day Europe 2025イベントレポート

ルネサスエレクトロニクス 余保束氏
2025年9月26日開催 OSSセキュリティMeetup 講演資料

Avatar for Linux Foundation Japan

Linux Foundation Japan PRO

September 29, 2025
Tweet

More Decks by Linux Foundation Japan

Other Decks in Technology

Transcript

  1. OpenSSF Community Day Europe 28 August 2025 Amsterdam, Netherland イベントレポート

    Copyright © 2025 The Linux Foundation®. All rights reserved. The Linux Foundation has registered trademarks and uses trademarks. ルネサスエレクトロニクス株式会社 余保 束
  2. OpenSSF Community Day Europe 2025概要  Open Source Summit Europe

    2025 (OSSEU2025)@アムステルダムRAIのco- location イベントとしてOSSEU(8/25-27)の翌 日8/28に同会場で開催  OpenSSF主催Security Open Source Softwareイベント  キーノート5セッションとブレイクアウト22セッション (1セッション約20分) セッション一覧と資料はイベントページに掲載 動画はYoutubeのOpenSSFチャンネルで視聴可能 3
  3. Summary&所感  参加者数は目算で100人前後。  SBOM*、CRAがホットトピック  複数のセッションでSBOMを活用した脆弱 性管理について発表あり。  PQC****(耐量子コンピュータ暗号)へ

    の対応も重要課題  CRAの規制をネガティブに捉えず、OSSセ キュリティをグローバルに高める好機と捉え 政策と協調していく事が重要 4 *SBOM : Software Bill of Material **PQC : Post-Quantum Cryptography
  4. セッションの紹介1 • Keynote: Welcome + Opening Remarks (Adrianne Marcum :Chief

    of Staff, OpenSSF) ◦ 過去1年のOpenSSF活動および成果の概要紹介 CRA関連の活動を行ってきた。今後もCRAに取り組む。 成果:リサーチペーパーや教育プログラム ・Report: Unaware and Uncertain: The Stark Realities of Cyber Resilience Act Readiness in Open Source ・Education: Understanding the EU Cyber Resilience Act (CRA) (LFEL1001)  本セッションの動画リンクはこちら 5
  5. セッションの紹介2 • Keynote: Bridging policy and communities – OpenSSF involvement

    in EU cyber policy (Madalin Neag :EU Policy Advisor, OpenSSF) ◦ EU Cyber PolicyへのOSSコミュニティの関わり方についての講演 ◦ CRAの概要およびCRAにおけるOSSスチュワードの位置づけ、CRAにおけるグローバルコラボレーション について <OSSスチュワード> ・CRAで初めて明確に非営利なオープンソースの担い手として定義された ・OSSスチュワードに対しては軽微(Light touch)で調整された扱いで負荷が軽減されている ・OSSスチュワードは法的に正式に認めらた事で、ある意味特権的な立場でイノベーションを推進可能  本セッションの資料はこちら、本セッションの動画リンクはこちら 6
  6. セッションの紹介3 • Becoming a Good CRA Citizen (Adolfo Garcia :Principal

    Engineer / Cofounder, Carabiner Systems) ◦ OSPSベースライン(Open Source Projcet Security Baseline)を活用しサプライチェーン全体で CRAの要件をどう満たしていくか ・OSPSベースライン:オープンソースプロジェクトがセキュリティを強化するための実行可能な具体的な管理項目の集まり ◦ CRAを「嵐」と捉えるか「成長の機会」と捉えるか。 成長の機会と捉えてOSSプロジェクトと製造業者(企業)が協力・協調する事で、製造業者の力(OSS プロジェクトへの貢献)を活用してOSSプロジェクトの成長が可能 ◦ 製造業者とOSSプロジェクトが協力・協調するには共通の認識を持って会話する事が必要。OSPSベース ラインを活用  本セッションの資料はこちら、本セッションの動画リンクはこちら 7
  7. セッションの紹介4 • Securing RSTUF To Secure Your Supply Chain (Kairo

    De Araujo :Open Source SW Engineer, Eclipse Foundation, Helen Woeste :Communications and Community Manager, Open Source Technology Improvement Fund, Eric Sesterhenn :Principal Security Consultant, X41 D-Sec GmbH) ◦ RSTUFの紹介とRSTUFのセキュリティ監査の紹介 ◦ TUF(The Update Framework) は、ソフトウェアのアップデートプロセスを安全にするためのセキ ュリティフレームワークで、RSTUF(Repository Service for TUF)はTUFの複雑な暗号処理や メタデータ管理を抽象化し、開発者が既存のCI/CDや成果物リポジトリに統合しやすくして簡単に導入 できるようにしたOSSツール ◦ OSTIF(Open Source Technology Improvement Fund)の支援でRSTUFのセキュリティ 監査を実施し、RSTUF 1.0.0をリリース  本セッションの資料はこちら、本セッションの動画リンクはこちら 8
  8. セッションの紹介5 • GUAC+Trustify: Building a Common Supply Chain Knowledge Graph

    (Ben Cotton :Open Source Community Lead, Kusari, Dejan Bosanac :Software Engineer, Red Hat) ◦ GUACとTrustifyを統合してSBOMや脆弱性情報、ライセンス情報などの収集、分析を簡単に行える 環境の構築を目指した活動 ◦ GUAC (Graph for Understanding Artifact Composition)はOpenSSFのプロジェクトと して提供されているツールでSBOMや脆弱性情報、ライセンス情報など可視化し分析できるツール ◦ Trustifyはed Hatが社内向けに開発・運用しているツールでセキュリティ管理やSBOMの管理に使用  本セッションの動画リンクはこちら 9
  9. セッションの紹介6 • A New Frontier: The Future of Quantum-Safe Software

    Supply Chains With Sigstore (Arthur Savage :Software Engineer, Red Hat) ◦ 量子コンピュータによる脅威:HN;DL (Harvest now; decrypt later, 今、盗んで後で復号) ◦ PQC (Post Quantum Cryptography: 耐量子コンピュータ暗号) への移行が急務 ◦ NISTが欧州委員会含め、韓国や中国も独自にPQCアルゴリズムを選定 ◦ 推奨アルゴリズムやレギュレーション変化が継続して起こると予想される。現時点でアルゴリズムを絞り込む 事は出来ないが継続検討する事が重要  本セッションの資料はこちら、本セッションの動画リンクはこちら 10
  10. セッションの紹介7 • SBOM at Scale: Securing Eclipse Foundation Projects With

    Automated Supply-Chain Visibility (Mikaël Barbero :Head of Security, Eclipse Foundation) ◦ Eclipseの全プロジェクトにSBOMを導入する取組 ◦ プロジェクト毎にSBOMを作成・管理するのではなくEclipse全体で統一した仕組みで自動生成・管理・ 保管(公開)しようという試み ◦ 最終目標は全てのEclipse Foudationプロジェクトが各リリース毎にビルド時点でSBOMを自動生成し 中央の公開レジストリに自動アップロード・保存出来るようにする事。 ◦ スモールスタート戦略。技術的負荷を軽減するためSBOMフォーマットはCycloneDXに限定して10+の プロジェクトで実践中。 ・Tooling Ecosystem for CycloneDX ・How to generate and upload SBOMs ・Early Adopters  本セッションの資料はこちら、本セッションの動画リンクはこちら 11
  11. LF Japan Community Days 大阪開催のお知らせ LF Japanエバンジェリストにより、初のコミュニティ全体イベント「LF Japan Community Days」が企画され、第1回を10月21日・22日の

    2日間、大阪で開催することが決定しました。 LF Japan Community Days 大阪 イベントページ イベント概要 日時 : 10月21日(火)・22日(水) 場所 : JEC 日本研修センター心斎橋 参加登録 (無料) :登録はこちらから 主催 : Linux Foundation 14
  12. Ways to Participate Join a Working Group/Project Come to a

    Meeting (see Public Calendar) Collaborate on Slack Contribute on GitHub Become an Organizational Member Keep up to date by subscribing to the OpenSSF Mailing List 15
  13. Engage with us on social media X @openssf LinkedIn OpenSSF

    Mastodon social.lfx.dev/@openssf YouTube OpenSSF Facebook OpenSSF 16
  14. Legal Notice Copyright © Open Source Security Foundation®, The Linux

    Foundation®, & their contributors. The Linux Foundation has registered trademarks and uses trademarks. All other trademarks are those of their respective owners. Per the OpenSSF Charter, this presentation is released under the Creative Commons Attribution 4.0 International License (CC-BY-4.0), available at <https://creativecommons.org/licenses/by/4.0/>. You are free to: • Share — copy and redistribute the material in any medium or format for any purpose, even commercially. • Adapt — remix, transform, and build upon the material for any purpose, even commercially. The licensor cannot revoke these freedoms as long as you follow the license terms: • Attribution — You must give appropriate credit , provide a link to the license, and indicate if changes were made . You may do so in any reasonable manner, but not in any way that suggests the licensor endorses you or your use. • No additional restrictions — You may not apply legal terms or technological measures that legally restrict others from doing anything the license permits. 17