Upgrade to Pro — share decks privately, control downloads, hide ads and more …

イベントレポート OpenSSF Day Vancouver

イベントレポート OpenSSF Day Vancouver

Linux Foundation 福安徳晃氏
2023年6月2日開催 第2回 OSSセキュリティMeetup 講演資料

Linux Foundation Japan

June 05, 2023
Tweet

More Decks by Linux Foundation Japan

Other Decks in Technology

Transcript

  1. Agenda 17:30-17:50 プロジェクトの概況報告と米国政府関係者による対談サマリー( LF 福安徳晃) 17:50-18:10 SBOM, SLSA, Woman &

    Non-Binary 関連トピック(日立製作所 山本穂奈美) 18:10-18:30 Mobilization Plan状況、Sigstore、バンクーバー紹介 他(サイバートラスト 池田 宗広) 18:30-19:30 懇親・雑談タイム 懇親・雑談タイムは現地参加のみの特典!
  2. 7 7 Microsoft and Google Re-Up Their Commitment Each is

    contributing $2.5M to A-O, on top of their similar 2022 contributions.
  3. Guiding Lights for 2023, 2024 and Beyond 1. Visualizing the

    OpenSSF Community 2. Driving Towards a Common Architecture For Secure Software Development 3. Updating and Re-Iterating the Mobilization Plan
  4. • We will be hosting an OpenSSF Day EU! ◦

    Monday, September 18th ◦ Bilbao, Spain • Co-located with Open Source Summit Europe • Stay tuned for the CFP & additional details soon OpenSSF Day Europe 12
  5. 米国政府サイバーセキュリティ担当者 コメントサマリー (1/3) • サイバーセキュリティは、安全保障の観点からだけでなく、経済的発展や民主主義や人権保護など の観点からも非常に重要である • OSSは米国の国益にとって非常にクリティカルであり (OSS is

    mission-critical for US national interests)、バイデン政権では「Open Souce Software Security Initiative (OSSSI)」(オーエスス リーアイと読む)という政策を立てた。 • Memory Safe がとても重要。理由は2つ。1)すでに解決策がある、2)解決に向けた取り組みがすで に活発になっている。 • OSS Security政策立案のためにホワイトハウスが考慮する点が2点ある。 a. OSSコミュニティは高度にDecentralized されているし、またコミュニティメンバーはどこか一つ の国だけに所属している訳ではない。従ってOSS Securityの政策は International viewが 必要 b. OSSの経済モデルがユニークである。ユーザ(ここでは政府?)はOSSを無料で使えるけど、そ のOSSのメンテナンスにはLaborが発生している。政府はどのようにOSSに対してInvest するか が課題。
  6. 米国政府サイバーセキュリティ担当者 コメントサマリー (2/3) • 米国政府は世界最大のOSSユーザで、米国インフラはOSSの恩恵をうけている。米国政府はサイ バーセキュリティという側面では、OSSを規制するのではなく、コミュニティの一部となり協力していく。 そのために a. 0SS技術者の雇用 b.

    OSSのセキュリティに関して理解を深める c. OSPOの設置 • 委託開発者を含めると相当数の技術者が米国政府でソフトウェア開発をしており(Microsoft、 Google 、Amazonの3社合計よりも多いと想像されている)、それらの大量の開発者を以下にレバ レッジしてOSS コミュニティにContribute backしていくかが課題。(20%の労働時間をOSS開発に利 用しても良いルールを作ることも視野に入れている) • SBOM Toolingにファンドしている
  7. 米国政府サイバーセキュリティ担当者 コメントサマリー (3/3) • 新しいサイバー戦略に関して:サイバー戦略では政府機関の外部とのパートナーシップに重きが置 かれ、特に開発者コミュニティとの連携が重要視されている。従って、サイバー戦略では随所にOSS コミュニティとの連携の重要性が指摘されている。 • サイバーセキュリティのベストプラクティスをどのように「安価に」ロールアウトするか?(...とBrianが独 り言のように言及)

    • 米国政府だけでなく、世界中の国とどのように手を携えてOSSセキュリティの課題に取り組んでいくべ きか? a. OSS開発は一つの国家に限定されている訳ではなく、グローバルな活動である。従ってOSSセ キュリティの問題は By Default でグローバル問題である。 b. 現在米国政府が依存しているOSSは、おそらく他の国でも同様に依存していると考えれられる。 従って、各国が別々で制限などを設けたりするのではなく、手を携えてコラボレーションで解決 していく必要があり、米国政府は各国に協調を呼びかける。