Upgrade to Pro — share decks privately, control downloads, hide ads and more …

イベントレポート OpenSSF Day Vancouver

Linux Foundation Japan
PRO
June 05, 2023
Technology
0
73

イベントレポート OpenSSF Day Vancouver

Linux Foundation 福安徳晃氏
2023年6月2日開催 第2回 OSSセキュリティMeetup 講演資料

Linux Foundation Japan
PRO

June 05, 2023
Tweet

More Decks by Linux Foundation Japan

See All by Linux Foundation Japan
OpenSSF Day / OSS NAにおけるSBOM、SLSAの動向
lfj
PRO
0
140
Open Source Summit NA / OpenSSF Day報告
lfj
PRO
0
58
AGL Japan Meetup BoF
lfj
PRO
0
61
Automotive Grade Linux (AGL) Meetup Japan - AGL All Member Meeting (AMM) in Berlin March 2023 Report -
lfj
PRO
0
120
OSSセキュリティ強化の重要性とOpenSSFの概要
lfj
PRO
0
180
OpenSSF WGs 紹介 : Securing Software Repositories / Security Tooling
lfj
PRO
0
140
Best Practices for Open Source Developers Working Group 活動内容のご紹介
lfj
PRO
0
110
トレーニングコースLFD121-JP「セキュアソフトウェア開発」のご紹介
lfj
PRO
0
140
みんなの自動翻訳@TexTraのご紹介
lfj
PRO
0
100

Other Decks in Technology

See All in Technology
Chat & Shop Like Never Before Unleash LINE SHOPPING API
linedevth
0
140
LLM 時代におさえておきたい Azure Serverless ファミリーまとめ / serverlessdaystokyo2023-llm-aoai
miyake
5
820
組織・プロセス・技術 - フロントエンドの生産性向上への複眼的アプローチ / 20230921
bengo4com
3
960
【IoT-Tech Meetup #5】WireGuardを動かす環境やハードウェア紹介
soracom
PRO
0
120
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
kentosuzuki
2
130
知らなくていい、知っても役に立たないDNSの豆知識
th0x0472
0
420
ログから学ぶgo build
nasa_desu
0
180
ChatGPTを前に頭が真っ白を乗り越え人が答えることが困難な認知負荷MAXなタフクエスチョンをどんどん回答させてプロダクト価値を爆速探求するぞ/cognitive_load_question_and_chatgpt
moriyuya
2
280
R Not Only in Production
karawoo
0
250
"SMB vs. EP" プロダクト特性の違いから考える「何をつくる?つくらない?」
miyashino
0
370
Digital Dining Journey with LINE at Bar B Q Plaza
linedevth
0
100
self-hosted runnerと actions/cache の噛み合わせが悪かった件 #githubactionsmeetup
whywaita
PRO
1
460

Featured

See All Featured
Ruby is Unlike a Banana
tanoku
93
9.9k
BBQ
matthewcrist
76
8.4k
It's Worth the Effort
3n
179
27k
Principles of Awesome APIs and How to Build Them.
keavy
119
16k
Fantastic passwords and where to find them - at NoRuKo
philnash
34
2.2k
Unsuck your backbone
ammeep
660
56k
[RailsConf 2023] Rails as a piece of cake
palkan
15
2.8k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
26
5.5k
Facilitating Awesome Meetings
lara
37
5.1k
Testing 201, or: Great Expectations
jmmastey
26
6k
The Language of Interfaces
destraynor
149
22k
Keith and Marios Guide to Fast Websites
keithpitt
407
21k

Transcript

  1. 2023.6.2 @ サイボウズ東京オフィス
    Welcome !
    Open Source Security
    Meetup Tokyo

    View Slide

  2. Agenda
    17:30-17:50 プロジェクトの概況報告と米国政府関係者による対談サマリー( LF 福安徳晃)
    17:50-18:10 SBOM, SLSA, Woman & Non-Binary 関連トピック(日立製作所 山本穂奈美)
    18:10-18:30 Mobilization Plan状況、Sigstore、バンクーバー紹介 他(サイバートラスト 池田 宗広)
    18:30-19:30 懇親・雑談タイム
    懇親・雑談タイムは現地参加のみの特典!

    View Slide

  3. @Open Source Security Meetup
    June 2, 2023
    Noriaki Fukuyasu
    イベントレポート
    OpenSSF Day Vancouver

    View Slide

  4. このセッションの内容
    1. Brian BehlendordによるOpening Remarks
    2. 米国政府関係者の対談内容サマリー

    View Slide

  5. Opening Remark & Project Status
    update by Brian Behlendorf

    View Slide

  6. SLSA Announces 1.0 Stable Release
    https://openssf.org/press-release/2023/04/19/openssf-announces-slsa-version-1-0-release/
    https://github.blog/2023-04-19-introducing-npm-package-provenance/

    View Slide

  7. 7
    7
    Microsoft and Google Re-Up Their Commitment
    Each is contributing $2.5M to A-O, on top of their similar 2022 contributions.

    View Slide

  8. View Slide

  9. View Slide

  10. View Slide

  11. Guiding Lights for 2023, 2024 and Beyond
    1. Visualizing the OpenSSF Community
    2. Driving Towards a Common Architecture For
    Secure Software Development
    3. Updating and Re-Iterating the Mobilization Plan

    View Slide

  12. ● We will be hosting an OpenSSF
    Day EU!
    ○ Monday, September 18th
    ○ Bilbao, Spain
    ● Co-located with Open Source
    Summit Europe
    ● Stay tuned for the CFP &
    additional details soon
    OpenSSF Day Europe
    12

    View Slide

  13. Announcing the OpenSSF Security Awareness Survey
    https://www.research.net/r/HK8JVXP

    View Slide

  14. セッションサマリー
    米国政府サイバーセキュリティ担当者座談会

    View Slide

  15. OpenSSF
    Brian Behlendorf Office of National Cyber Director
    Anjana Rajan
    CISA
    Jack Cable

    View Slide

  16. 米国政府サイバーセキュリティ担当者 コメントサマリー (1/3)
    ● サイバーセキュリティは、安全保障の観点からだけでなく、経済的発展や民主主義や人権保護など
    の観点からも非常に重要である
    ● OSSは米国の国益にとって非常にクリティカルであり (OSS is mission-critical for US national
    interests)、バイデン政権では「Open Souce Software Security Initiative (OSSSI)」(オーエスス
    リーアイと読む)という政策を立てた。
    ● Memory Safe がとても重要。理由は2つ。1)すでに解決策がある、2)解決に向けた取り組みがすで
    に活発になっている。
    ● OSS Security政策立案のためにホワイトハウスが考慮する点が2点ある。
    a. OSSコミュニティは高度にDecentralized されているし、またコミュニティメンバーはどこか一つ
    の国だけに所属している訳ではない。従ってOSS Securityの政策は International viewが
    必要
    b. OSSの経済モデルがユニークである。ユーザ(ここでは政府?)はOSSを無料で使えるけど、そ
    のOSSのメンテナンスにはLaborが発生している。政府はどのようにOSSに対してInvest するか
    が課題。

    View Slide

  17. 米国政府サイバーセキュリティ担当者 コメントサマリー (2/3)
    ● 米国政府は世界最大のOSSユーザで、米国インフラはOSSの恩恵をうけている。米国政府はサイ
    バーセキュリティという側面では、OSSを規制するのではなく、コミュニティの一部となり協力していく。
    そのために
    a. 0SS技術者の雇用
    b. OSSのセキュリティに関して理解を深める
    c. OSPOの設置
    ● 委託開発者を含めると相当数の技術者が米国政府でソフトウェア開発をしており(Microsoft、
    Google 、Amazonの3社合計よりも多いと想像されている)、それらの大量の開発者を以下にレバ
    レッジしてOSS コミュニティにContribute backしていくかが課題。(20%の労働時間をOSS開発に利
    用しても良いルールを作ることも視野に入れている)
    ● SBOM Toolingにファンドしている

    View Slide

  18. 米国政府サイバーセキュリティ担当者 コメントサマリー (3/3)
    ● 新しいサイバー戦略に関して:サイバー戦略では政府機関の外部とのパートナーシップに重きが置
    かれ、特に開発者コミュニティとの連携が重要視されている。従って、サイバー戦略では随所にOSS
    コミュニティとの連携の重要性が指摘されている。
    ● サイバーセキュリティのベストプラクティスをどのように「安価に」ロールアウトするか?(...とBrianが独
    り言のように言及)
    ● 米国政府だけでなく、世界中の国とどのように手を携えてOSSセキュリティの課題に取り組んでいくべ
    きか?
    a. OSS開発は一つの国家に限定されている訳ではなく、グローバルな活動である。従ってOSSセ
    キュリティの問題は By Default でグローバル問題である。
    b. 現在米国政府が依存しているOSSは、おそらく他の国でも同様に依存していると考えれられる。
    従って、各国が別々で制限などを設けたりするのではなく、手を携えてコラボレーションで解決
    していく必要があり、米国政府は各国に協調を呼びかける。

    View Slide

  19. Thank You
    19

    View Slide