Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpenSSF Day / OSS NAにおけるSBOM、SLSAの動向

Linux Foundation Japan
PRO
June 05, 2023
Technology
0
270

OpenSSF Day / OSS NAにおけるSBOM、SLSAの動向

日立製作所 研究開発グループ サービスシステムイノベーションセンタ デジタルエコノミー研究部 山本穂奈美氏
2023年6月2日開催 第2回 OSSセキュリティMeetup 講演資料

Linux Foundation Japan
PRO

June 05, 2023
Tweet

More Decks by Linux Foundation Japan

See All by Linux Foundation Japan
イベントレポート OpenSSF Day Vancouver
lfj
PRO
0
130
Open Source Summit NA / OpenSSF Day報告
lfj
PRO
0
140
AGL Japan Meetup BoF
lfj
PRO
0
120
Automotive Grade Linux (AGL) Meetup Japan - AGL All Member Meeting (AMM) in Berlin March 2023 Report -
lfj
PRO
0
250
OSSセキュリティ強化の重要性とOpenSSFの概要
lfj
PRO
0
310
OpenSSF WGs 紹介 : Securing Software Repositories / Security Tooling
lfj
PRO
0
240
Best Practices for Open Source Developers Working Group 活動内容のご紹介
lfj
PRO
0
210
トレーニングコースLFD121-JP「セキュアソフトウェア開発」のご紹介
lfj
PRO
0
270
みんなの自動翻訳@TexTraのご紹介
lfj
PRO
0
180

Other Decks in Technology

See All in Technology
「手動オペレーションに定評がある」と言われた私が心がけていること / phpcon_odawara2024
blue_goheimochi
1
320
2024/4/26 コンピュータ歴史博物館解説告知
toshi_atsumi
0
190
巨大なテーブルのテーブル定義を無停止で安全に誰でも変更できるようにする / Table-definitions-for-huge-tables-can-be-modified-by-anyone-safely-and-non-disruptively
freee
1
730
シン・Kafka / shin-kafka
oracle4engineer
PRO
6
2.7k
Apple Vision Pro trial session
akkeylab
0
120
Tableau事例紹介 / Tableau Case Study of Eureka
kazuya_araki_tokyo
1
170
自動生成を活用した、運用保守コストを抑える Error/Alert/Runbook の一元集約管理 / Centralized management of Error/Alert/Runbook to minimize operational costs using automated code generation
biwashi
9
2.1k
Garoon 開発チーム / Garoon development team
cybozuinsideout
PRO
1
2.9k
人間の尊厳、幸福、アクセシビリティ / 第116回「WEB TOUCH MEETING」アクセシビリティSP
nulabinc
PRO
2
180
ユーザーストーリーのレビューを自動化したみたの
bun913
1
300
【SORACOM UG】SIM Deep Dive セキュアエレメント編
soracom
PRO
0
250
カオナビの利用実績をアウトカムへつなげる旅 / example-of-data-management-startup-in-kaonavi
kaonavi
0
120

Featured

See All Featured
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
Six Lessons from altMBA
skipperchong
19
3k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
60
14k
We Have a Design System, Now What?
morganepeng
42
6.7k
The MySQL Ecosystem @ GitHub 2015
samlambert
242
12k
What’s in a name? Adding method to the madness
productmarketing
PRO
15
2.6k
Statistics for Hackers
jakevdp
789
220k
Reflections from 52 weeks, 52 projects
jeffersonlam
343
19k
Building Flexible Design Systems
yeseniaperezcruz
318
37k
From Idea to $5000 a Month in 5 Months
shpigford
377
45k
Pencils Down: Stop Designing & Start Developing
hursman
116
11k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
19
1.9k

Transcript

  1. © Hitachi, Ltd. 2023. All rights reserved. OpenSSF Day /

    OSS NAにおける SBOM、SLSAの動向 2023/06/02 日立製作所 研究開発グループ サービスシステムイノベーションセンタ デジタルエコノミー研究部 山本穂奈美・下沢拓 ※本資料は、2023/05/10-12にて開催された OpenSSF DayおよびOSS NAにおけるセッショ ン内容をもとに作成したものです。 出典:Open Source Summit North America | Linux Foundation Events、 Open Source Summit North America | Linux Foundation Events

  2. 1 © Hitachi, Ltd. 2023. All rights reserved. 1. はじめに

    2. SBOM - An SBOM Primer: From Licenses to Security, Know What’s I Your Code, or Someone Else’s! 3. SLSA - SLSA Conformance - SLSA with Us: The Dance of AppSec Contents

  3. 2 © Hitachi, Ltd. 2023. All rights reserved. • Open

    SSF Day/OSS NAへの参加目的 HITACHIは、今年からOpenSSFのメンバーに加入し、ソフトウェア・サ プライチェーン・セキュリティに注力しています。 • 本日は、「SBOM」、「SLSA」といったキーワードをもとに、ソフトウェア・サ プライチェーン・セキュリティの動向をご説明させていただければ幸いです。 1. はじめに

  4. 3 © Hitachi, Ltd. 2023. All rights reserved. • 自己紹介

    1. はじめに ✓ 山本 穂奈美(やまもと ほなみ) ✓ 2019年 株式会社日立製作所入社 ✓ 情報セキュリティ、金融システム、児童福祉システムの研究に従事

  5. 4 © Hitachi, Ltd. 2023. All rights reserved. 2. SBOM

  6. 5 © Hitachi, Ltd. 2023. All rights reserved. • An

    SBOM Primer: From Licenses to Security, Know What’s I Your Code, or Someone Else’s! 2. SBOM Jeff Shapiro, The Linux Foundation & Gary O’Neall, Source Auditor ✓ SBOM(Software Bill of Materials: ソフトウェア部品表)とは何か?なぜ必 要か?いつ作成しどう使うか?を説明 する入門のような講演 ✓ 標準フォーマットの紹介 ✓ SBOMの最小限の記載要素の説明 ✓ SBOMの生成ツールの紹介 ✓ SBOMの今後

  7. 6 © Hitachi, Ltd. 2023. All rights reserved. • SBOMとは?

    2. SBOM ✓ SBOM(Software Bill of Materials:ソフトウェア部品表) – ソフトウェアを構成するコンポーネントに関する詳細とサプライチェーン関係 を記載した記録 – 脆弱性やリスクを可視化 – 2021年の米国大統領令「国家のサイバーセキュリティの向上に関する大 統領令」により、ソフトウェア・サプライチェーン・セキュリティの強化への対応 策の一つとしてSBOMを挙げ、SBOMが含むべき最低限の要素を規定 – ソフトウェア構成分析(SCA)ツールで、PSIRT(Product Security Incident Response Team)の延長線上で脆弱性管理する事例が増 えている

  8. 7 © Hitachi, Ltd. 2023. All rights reserved. • SBOMの標準フォーマットの紹介

    2. SBOM ✓ Linux Foundationのプロジェクトで、ISO標準 – ライセンスとセキュリティのユースケースをサポート – File formats: Tag/Value, JSON, JSON-LD, YAML, RDF/XML, XLS ✓ OWASPによるフォーマット – セキュリティのユースケースに特化 – File formats: JSON, XML, Protocol Buffers (binary) ✓ ソフトウェアの識別に焦点を当てたNIST基準 – File formats: XML

  9. 8 © Hitachi, Ltd. 2023. All rights reserved. • SBOMの最小限の記載要素の説明

    2. SBOM Data Field 詳細 Supplier Name コンポーネントを作成、定義、および識別するエンティティ の名前 Component Name 元のサプライヤーによって定義されソフトウェアのユニットに 割り当てられた名前 Version of the component 前のバージョンからの変更を記載する Other Unique Identifiers コンポーネントを識別または関連するデータベースの検索 キーとして機能するその他の識別子 Dependency Relationship ソフトウェア に含まれる上流コンポーネントの関係 Author of SBOM Data SBOM データを作成するエンティティの名前 Timestamp アセンブリ日時 Source: NTIA https://www.ntia.doc.gov/sites/default/files/publications/sbom_minimum_elements_report_0.pdf

  10. 9 © Hitachi, Ltd. 2023. All rights reserved. • SBOM生成ツールの紹介

    2. SBOM ✓ SBOMは、ソフトウェアライフサイクル 中で複数の方法で作成される – ソフトウェア構成分析 (SCA) ツール – ソースコードリポジトリのスキャン – ビルドツールを使用したコンポーネントと依 存関係の追跡 – ビルド後に依存関係を再帰的にスキャン ✓ いつSBOMを生成、更新するか – 開発および構築フェーズ中 – 発売前(サプライヤーによる) – リリース後 (消費者またはサードパーティ の監査人による) ✓ ツール – Maven Plugin – Gradle Plugin – Syft, Syft GitHub Action – SBOM Generator GitHub Action

  11. 10 © Hitachi, Ltd. 2023. All rights reserved. • SBOMの今後

    2. SBOM ✓ SBOM for Software – Build and usage metadata. ✓ SBOM for AI – Learning data, model info, privacy info, domain. ✓ SBOM for Data – Size of dataset, noise, known biases, confidentiality, availability. ✓ SBOM for SaaS – CISA service transparency.

  12. 11 © Hitachi, Ltd. 2023. All rights reserved. • It's

    Time to Harden the DevOps Pipeline with New Open-Source Security Tooling 2. SBOM Taylor (DeployHub) ✓ DevOps パイプラインを強化する新し いオープンソース セキュリティ ツールを 紹介する講演 ✓ DevOps パイプラインにおける5つの フェーズでのセキュリティツールの検討 ✓ The OpenSSF、CD. Foundation、 CNCF、GitHub、Microsoftのツール の紹介

  13. 12 © Hitachi, Ltd. 2023. All rights reserved. • Phase

    1 – Code and Pre Build • Phase 2 – Build • Phase 3 – Post Build SBOM • Phase 4 – Publish • Phase 5 – ScoreCard Security Audit 2. SBOM ✓ SBOMツールとして – Docker BuildX – Syft – Microsoft SBOM tool – OpenSSF SPDX

  14. 13 © Hitachi, Ltd. 2023. All rights reserved. 3. SLSA

  15. 14 © Hitachi, Ltd. 2023. All rights reserved. • SLSA

    Conformance 3. SLSA Kris Kooi (Google), Joshua Mulliken (Red Hat) ✓ SLSA Frameworkの概要とSLSA v1.0のカバー範囲と効果を説明する 講演 ✓ SLSA Frameworkの概要 ✓ SLSA v1.0のBuild Level1-3の説明 ✓ SLSA Certified badgeの取り方

  16. 15 © Hitachi, Ltd. 2023. All rights reserved. • SLSA

    Frameworkの概要 3. SLSA ✓ ソフトウェアサプライチェーン をモデル化 ✓ Source/Dependency/Bui ldにおける脅威を挙げる ✓ SLSA v1.0ではBuildの脅 威を軽減しようとしている

  17. 16 © Hitachi, Ltd. 2023. All rights reserved. • SLSA

    Frameworkの概要 3. SLSA SLSA v1.0

  18. 17 © Hitachi, Ltd. 2023. All rights reserved. • SLSA

    v1.0のBuild Level1-3の説明 3. SLSA ✓ Build L0 - No guarantees ✓ Build L1 - Provenance exists (document intent) :Producerによるビルドプロセスのポリシーの作成 ✓ Build L2 - Hosted build platform (someone else builds) :Producerによるビルドプロセスのポリシーの作成 + プラットフォーム上 の第二者によるビルド ✓ Build L3 - Hardened builds (someone else builds in a hardened environment) :Producerによるビルドプロセスのポリシーの作成 + プラットフォーム上 で偽造不能で独立した環境によるビルド

  19. 18 © Hitachi, Ltd. 2023. All rights reserved. • SLSA

    Certified badgeの取り方 3. SLSA ✓ Tier 1: 自己証明による取得 (SLSAのアンケートへの回答) ✓ Tier 2: サードパーティーの監査によ る取得 (監査手順とレポートを公開する)

  20. 19 © Hitachi, Ltd. 2023. All rights reserved. • SLSA

    with Us: The Dance of AppSec 3. SLSA Michael Lieberman (Kusari) ✓ SLSA v1.0の概要説明とデモンスト レーションのある講演 ✓ SLSA v1.0 Build Level1-3におけ る基準の説明 ✓ SLSA v1.0のデモンストレーション ✓ SLSAの今後の展望

  21. 20 © Hitachi, Ltd. 2023. All rights reserved. • SLSA

    v1.0の概要 3. SLSA ✓ SLSAは、サプライチェーンセキュリティフレームワークである – Build、Source、Dependenciesのトラックがある – サプライチェーンにおいてビルドが重要で、一般的にProvenance(来歴)が欠落し ていることが多いためビルドトラックから着手 – Provenance(来歴)のフォーマット: in-toto format (JSON) ✓ SLSAでできないこと – マルウェアの防止(検知しやすくするのみ) – 包括的なルールではない(詳しくはOpenSSFのS2C2Fを) ✓ SLSA v0.1との違い – Level 4として二人によるレビューを定義 – SLSA v1.0ではLevel 4は対象外としている

  22. 21 © Hitachi, Ltd. 2023. All rights reserved. • SLSA

    v1.0 Build Level1-3における基準の説明 3. SLSA アクター1: Producer アクター2: Build platform

  23. 22 © Hitachi, Ltd. 2023. All rights reserved. • SLSA

    v1.0 Build Level1-3における基準の説明 3. SLSA ✓ Provenance generation(来歴の生成) ー Exists (存在する) ー Authentic (本物である) ー Unforgeable (偽造不可能) ✓ Isolation strength (分離強度) ー Hosted (ホスト型) ー Isolated (分離型) 詳細:SLSA • Producing artifacts

  24. 23 © Hitachi, Ltd. 2023. All rights reserved. • SLSA

    v1.0のデモンストレーション 3. SLSA ✓ SLSA3 Node.js builder for GitHub Actions – SLSA • Bringing Improved Supply Chain Security to the Node.js Ecosystem – Node.js · mlieberman85/actions-test@90d57fb · GitHub – @mlieberman85/actions-test - npm (npmjs.com) ✓ デモ内容 – ビルドの実行 – SLSA Build L3準拠の来歴を生成 – パッケージとともにnpmレジストリに公開 – Provenance(来歴)の検証

  25. 24 © Hitachi, Ltd. 2023. All rights reserved. • SLSAの今後の展望

    3. SLSA ✓ 新しいトラックの開発 ー Source ー Dependencies ー Build System ✓ SLSA Build level4 ー Coming soon ー 一緒に定義していきたい ✓ プログラムへのSLSAの適合 ー SLSA公式マークの取得 ✓ ツール ー the SLSA tooling SIGでの検討

  26. 25 © Hitachi, Ltd. 2023. All rights reserved. 番外編

  27. 26 © Hitachi, Ltd. 2023. All rights reserved. • Creative,

    Inclusive and Sustainable Cybersecurity- Getting it Done with DEI – DEI(Diversity, Equity & Inclusion)の取り組み Christine Abernathy, f5; Amanda Brock, OpenUK; Anova Hou, University of British Columbia; Eddie Knight, Sonatype & Moderated by Sal Kimmich, EscherCloud • Women & Non-Binary in Open Source Lunch (Open to Women & Non-Binary Attendees)
  28. None

  29. 28 © Hitachi, Ltd. 2023. All rights reserved. • It's

    Time to Harden the DevOps Pipeline with New Open-Source Security Tooling 補足資料 Taylor (DeployHub)

  30. 29 © Hitachi, Ltd. 2023. All rights reserved. • It's

    Time to Harden the DevOps Pipeline with New Open-Source Security Tooling 補足資料 Taylor (DeployHub)

  31. 30 © Hitachi, Ltd. 2023. All rights reserved. • It's

    Time to Harden the DevOps Pipeline with New Open-Source Security Tooling 補足資料 Taylor (DeployHub)

  32. 31 © Hitachi, Ltd. 2023. All rights reserved. • It's

    Time to Harden the DevOps Pipeline with New Open-Source Security Tooling 補足資料 Taylor (DeployHub)

  33. 32 © Hitachi, Ltd. 2023. All rights reserved. • It's

    Time to Harden the DevOps Pipeline with New Open-Source Security Tooling 補足資料 Taylor (DeployHub)