日立製作所 研究開発グループ サービスシステムイノベーションセンタ デジタルエコノミー研究部 山本穂奈美氏 2023年6月2日開催 第2回 OSSセキュリティMeetup 講演資料
© Hitachi, Ltd. 2023. All rights reserved.OpenSSF Day / OSS NAにおけるSBOM、SLSAの動向2023/06/02日立製作所 研究開発グループサービスシステムイノベーションセンタデジタルエコノミー研究部山本穂奈美・下沢拓※本資料は、2023/05/10-12にて開催されたOpenSSF DayおよびOSS NAにおけるセッション内容をもとに作成したものです。出典:Open Source Summit North America | Linux Foundation Events、Open Source Summit North America | Linux Foundation Events
View Slide
1© Hitachi, Ltd. 2023. All rights reserved.1. はじめに2. SBOM- An SBOM Primer: From Licenses to Security,Know What’s I Your Code, or Someone Else’s!3. SLSA- SLSA Conformance- SLSA with Us: The Dance of AppSecContents
2© Hitachi, Ltd. 2023. All rights reserved.• Open SSF Day/OSS NAへの参加目的HITACHIは、今年からOpenSSFのメンバーに加入し、ソフトウェア・サプライチェーン・セキュリティに注力しています。• 本日は、「SBOM」、「SLSA」といったキーワードをもとに、ソフトウェア・サプライチェーン・セキュリティの動向をご説明させていただければ幸いです。1. はじめに
3© Hitachi, Ltd. 2023. All rights reserved.• 自己紹介1. はじめに✓ 山本 穂奈美(やまもと ほなみ)✓ 2019年 株式会社日立製作所入社✓ 情報セキュリティ、金融システム、児童福祉システムの研究に従事
4© Hitachi, Ltd. 2023. All rights reserved.2. SBOM
5© Hitachi, Ltd. 2023. All rights reserved.• An SBOM Primer: From Licenses to Security, KnowWhat’s I Your Code, or Someone Else’s!2. SBOMJeff Shapiro, The Linux Foundation & Gary O’Neall, Source Auditor✓ SBOM(Software Bill of Materials:ソフトウェア部品表)とは何か?なぜ必要か?いつ作成しどう使うか?を説明する入門のような講演✓ 標準フォーマットの紹介✓ SBOMの最小限の記載要素の説明✓ SBOMの生成ツールの紹介✓ SBOMの今後
6© Hitachi, Ltd. 2023. All rights reserved.• SBOMとは?2. SBOM✓ SBOM(Software Bill of Materials:ソフトウェア部品表)– ソフトウェアを構成するコンポーネントに関する詳細とサプライチェーン関係を記載した記録– 脆弱性やリスクを可視化– 2021年の米国大統領令「国家のサイバーセキュリティの向上に関する大統領令」により、ソフトウェア・サプライチェーン・セキュリティの強化への対応策の一つとしてSBOMを挙げ、SBOMが含むべき最低限の要素を規定– ソフトウェア構成分析(SCA)ツールで、PSIRT(Product SecurityIncident Response Team)の延長線上で脆弱性管理する事例が増えている
7© Hitachi, Ltd. 2023. All rights reserved.• SBOMの標準フォーマットの紹介2. SBOM✓ Linux Foundationのプロジェクトで、ISO標準– ライセンスとセキュリティのユースケースをサポート– File formats: Tag/Value, JSON, JSON-LD,YAML, RDF/XML, XLS✓ OWASPによるフォーマット– セキュリティのユースケースに特化– File formats: JSON, XML, Protocol Buffers(binary)✓ ソフトウェアの識別に焦点を当てたNIST基準– File formats: XML
8© Hitachi, Ltd. 2023. All rights reserved.• SBOMの最小限の記載要素の説明2. SBOMData Field 詳細Supplier Name コンポーネントを作成、定義、および識別するエンティティの名前Component Name 元のサプライヤーによって定義されソフトウェアのユニットに割り当てられた名前Version of the component 前のバージョンからの変更を記載するOther Unique Identifiers コンポーネントを識別または関連するデータベースの検索キーとして機能するその他の識別子Dependency Relationship ソフトウェア に含まれる上流コンポーネントの関係Author of SBOM Data SBOM データを作成するエンティティの名前Timestamp アセンブリ日時Source: NTIA https://www.ntia.doc.gov/sites/default/files/publications/sbom_minimum_elements_report_0.pdf
9© Hitachi, Ltd. 2023. All rights reserved.• SBOM生成ツールの紹介2. SBOM✓ SBOMは、ソフトウェアライフサイクル中で複数の方法で作成される– ソフトウェア構成分析 (SCA) ツール– ソースコードリポジトリのスキャン– ビルドツールを使用したコンポーネントと依存関係の追跡– ビルド後に依存関係を再帰的にスキャン✓ いつSBOMを生成、更新するか– 開発および構築フェーズ中– 発売前(サプライヤーによる)– リリース後 (消費者またはサードパーティの監査人による)✓ ツール– Maven Plugin– Gradle Plugin– Syft, Syft GitHub Action– SBOM Generator GitHub Action
10© Hitachi, Ltd. 2023. All rights reserved.• SBOMの今後2. SBOM✓ SBOM for Software– Build and usage metadata.✓ SBOM for AI– Learning data, model info, privacy info, domain.✓ SBOM for Data– Size of dataset, noise, known biases, confidentiality, availability.✓ SBOM for SaaS– CISA service transparency.
11© Hitachi, Ltd. 2023. All rights reserved.• It's Time to Harden the DevOps Pipeline with NewOpen-Source Security Tooling2. SBOMTaylor (DeployHub)✓ DevOps パイプラインを強化する新しいオープンソース セキュリティ ツールを紹介する講演✓ DevOps パイプラインにおける5つのフェーズでのセキュリティツールの検討✓ The OpenSSF、CD. Foundation、CNCF、GitHub、Microsoftのツールの紹介
12© Hitachi, Ltd. 2023. All rights reserved.• Phase 1 – Code and Pre Build• Phase 2 – Build• Phase 3 – Post Build SBOM• Phase 4 – Publish• Phase 5 – ScoreCard Security Audit2. SBOM✓ SBOMツールとして– Docker BuildX– Syft– Microsoft SBOM tool– OpenSSF SPDX
13© Hitachi, Ltd. 2023. All rights reserved.3. SLSA
14© Hitachi, Ltd. 2023. All rights reserved.• SLSA Conformance3. SLSAKris Kooi (Google), Joshua Mulliken (Red Hat)✓ SLSA Frameworkの概要とSLSAv1.0のカバー範囲と効果を説明する講演✓ SLSA Frameworkの概要✓ SLSA v1.0のBuild Level1-3の説明✓ SLSA Certified badgeの取り方
15© Hitachi, Ltd. 2023. All rights reserved.• SLSA Frameworkの概要3. SLSA✓ ソフトウェアサプライチェーンをモデル化✓ Source/Dependency/Buildにおける脅威を挙げる✓ SLSA v1.0ではBuildの脅威を軽減しようとしている
16© Hitachi, Ltd. 2023. All rights reserved.• SLSA Frameworkの概要3. SLSASLSA v1.0
17© Hitachi, Ltd. 2023. All rights reserved.• SLSA v1.0のBuild Level1-3の説明3. SLSA✓ Build L0 - No guarantees✓ Build L1 - Provenance exists (document intent):Producerによるビルドプロセスのポリシーの作成✓ Build L2 - Hosted build platform (someone else builds):Producerによるビルドプロセスのポリシーの作成 + プラットフォーム上の第二者によるビルド✓ Build L3 - Hardened builds (someone else builds in a hardenedenvironment):Producerによるビルドプロセスのポリシーの作成 + プラットフォーム上で偽造不能で独立した環境によるビルド
18© Hitachi, Ltd. 2023. All rights reserved.• SLSA Certified badgeの取り方3. SLSA✓ Tier 1: 自己証明による取得(SLSAのアンケートへの回答)✓ Tier 2: サードパーティーの監査による取得(監査手順とレポートを公開する)
19© Hitachi, Ltd. 2023. All rights reserved.• SLSA with Us: The Dance of AppSec3. SLSAMichael Lieberman (Kusari)✓ SLSA v1.0の概要説明とデモンストレーションのある講演✓ SLSA v1.0 Build Level1-3における基準の説明✓ SLSA v1.0のデモンストレーション✓ SLSAの今後の展望
20© Hitachi, Ltd. 2023. All rights reserved.• SLSA v1.0の概要3. SLSA✓ SLSAは、サプライチェーンセキュリティフレームワークである– Build、Source、Dependenciesのトラックがある– サプライチェーンにおいてビルドが重要で、一般的にProvenance(来歴)が欠落していることが多いためビルドトラックから着手– Provenance(来歴)のフォーマット: in-toto format (JSON)✓ SLSAでできないこと– マルウェアの防止(検知しやすくするのみ)– 包括的なルールではない(詳しくはOpenSSFのS2C2Fを)✓ SLSA v0.1との違い– Level 4として二人によるレビューを定義– SLSA v1.0ではLevel 4は対象外としている
21© Hitachi, Ltd. 2023. All rights reserved.• SLSA v1.0 Build Level1-3における基準の説明3. SLSAアクター1:Producerアクター2:Buildplatform
22© Hitachi, Ltd. 2023. All rights reserved.• SLSA v1.0 Build Level1-3における基準の説明3. SLSA✓ Provenance generation(来歴の生成)ー Exists (存在する)ー Authentic (本物である)ー Unforgeable (偽造不可能)✓ Isolation strength (分離強度)ー Hosted (ホスト型)ー Isolated (分離型)詳細:SLSA • Producing artifacts
23© Hitachi, Ltd. 2023. All rights reserved.• SLSA v1.0のデモンストレーション3. SLSA✓ SLSA3 Node.js builder for GitHub Actions– SLSA • Bringing Improved Supply Chain Security to the Node.js Ecosystem– Node.js · mlieberman85/actions-test@90d57fb · GitHub– @mlieberman85/actions-test - npm (npmjs.com)✓ デモ内容– ビルドの実行– SLSA Build L3準拠の来歴を生成– パッケージとともにnpmレジストリに公開– Provenance(来歴)の検証
24© Hitachi, Ltd. 2023. All rights reserved.• SLSAの今後の展望3. SLSA✓ 新しいトラックの開発ー Sourceー Dependenciesー Build System✓ SLSA Build level4ー Coming soonー 一緒に定義していきたい✓ プログラムへのSLSAの適合ー SLSA公式マークの取得✓ ツールー the SLSA tooling SIGでの検討
25© Hitachi, Ltd. 2023. All rights reserved.番外編
26© Hitachi, Ltd. 2023. All rights reserved.• Creative, Inclusive and Sustainable Cybersecurity-Getting it Done with DEI –DEI(Diversity, Equity & Inclusion)の取り組みChristine Abernathy, f5; Amanda Brock,OpenUK; Anova Hou, University of BritishColumbia; Eddie Knight, Sonatype &Moderated by Sal Kimmich, EscherCloud• Women & Non-Binary in Open Source Lunch(Open to Women & Non-Binary Attendees)
28© Hitachi, Ltd. 2023. All rights reserved.• It's Time to Harden the DevOps Pipeline with NewOpen-Source Security Tooling補足資料Taylor (DeployHub)
29© Hitachi, Ltd. 2023. All rights reserved.• It's Time to Harden the DevOps Pipeline with NewOpen-Source Security Tooling補足資料Taylor (DeployHub)
30© Hitachi, Ltd. 2023. All rights reserved.• It's Time to Harden the DevOps Pipeline with NewOpen-Source Security Tooling補足資料Taylor (DeployHub)
31© Hitachi, Ltd. 2023. All rights reserved.• It's Time to Harden the DevOps Pipeline with NewOpen-Source Security Tooling補足資料Taylor (DeployHub)
32© Hitachi, Ltd. 2023. All rights reserved.• It's Time to Harden the DevOps Pipeline with NewOpen-Source Security Tooling補足資料Taylor (DeployHub)