Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Open Source Summit NA / OpenSSF Day報告
Search
Linux Foundation Japan
PRO
June 05, 2023
Technology
0
250
Open Source Summit NA / OpenSSF Day報告
サイバートラスト株式会社 IoT技術本部 池田宗広氏
2023年6月2日開催 第2回 OSSセキュリティMeetup 講演資料
Linux Foundation Japan
PRO
June 05, 2023
Tweet
Share
More Decks by Linux Foundation Japan
See All by Linux Foundation Japan
SOSS Community Day EUROPE イベントレポート
lfj
PRO
0
25
OpenSSF 10分クッキング ー 10分でOpenSSFを解説
lfj
PRO
0
33
Open Source Summit EU 参加レポート
lfj
PRO
0
35
OSS Security Meetup Tokyo Oct 3, 2024
lfj
PRO
0
37
SLSA概要紹介 Supply-chain Levels for Software Artifacts
lfj
PRO
0
45
SOSS Community Day North America 2024 セッション報告
lfj
PRO
0
230
SOSS Community Day Report
lfj
PRO
0
160
OpenSSF Overview - Improve the Security of Open Source Software for All
lfj
PRO
0
200
Secure OSS Community Day North America イベントレポート
lfj
PRO
0
170
Other Decks in Technology
See All in Technology
ISUCONに強くなるかもしれない日々の過ごしかた/Findy ISUCON 2024-11-14
fujiwara3
8
870
Terraform Stacks入門 #HashiTalks
msato
0
350
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
5
610
強いチームと開発生産性
onk
PRO
34
11k
透過型SMTPプロキシによる送信メールの可観測性向上: Update Edition / Improved observability of outgoing emails with transparent smtp proxy: Update edition
linyows
2
210
ハイパーパラメータチューニングって何をしているの
toridori_dev
0
140
Python(PYNQ)がテーマのAMD主催のFPGAコンテストに参加してきた
iotengineer22
0
470
OCI Vault 概要
oracle4engineer
PRO
0
9.7k
EventHub Startup CTO of the year 2024 ピッチ資料
eventhub
0
110
誰も全体を知らない ~ ロールの垣根を超えて引き上げる開発生産性 / Boosting Development Productivity Across Roles
kakehashi
1
220
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
tubone24
1
430
B2B SaaSから見た最近のC#/.NETの進化
sansantech
PRO
0
740
Featured
See All Featured
A designer walks into a library…
pauljervisheath
203
24k
Site-Speed That Sticks
csswizardry
0
23
Agile that works and the tools we love
rasmusluckow
327
21k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
What's new in Ruby 2.0
geeforr
343
31k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.8k
Documentation Writing (for coders)
carmenintech
65
4.4k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
44
2.2k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k
Automating Front-end Workflow
addyosmani
1366
200k
Six Lessons from altMBA
skipperchong
27
3.5k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
Transcript
Copyright Cybertrust Japan Co., Ltd. Security Meetup Tokyo Open Source
Summit NA / OpenSSF Day 報告 2023/06/02 サイバートラスト株式会社 IoT技術本部 池田 宗広
Copyright Cybertrust Japan Co., Ltd. Agenda OSSNA / OpenSSF Day
2023 で興味深かったセッションを紹介します ▪ Mobilizing for the Mobilization Plan (Christopher Robinson, Intel) ▪ Getting Involved in Sigstore Research Projects (Hayden Blauzvern, Google) +おまけコーナー ▪ Vancouver, Canada
Copyright Cybertrust Japan Co., Ltd. Mobilizing for the Mobilization Plan
(Christopher Robinson, Intel)
Copyright Cybertrust Japan Co., Ltd. 3つの目標(3 Goals)と10 の主要な問題(10 Streams)を定義・特定 •
日本語版:https://www.linuxfoundation.jp/publications/2022/08/oss_security_mobilization_plan/ • OSS Security Summit II @ Whitehouse で提案・宣言 あらためて:OSS Security Mobilization Plan 3 Goals 1. セキュリティ教育 2. リスク評価 3. デジタル署名 4. メモリー安全性 5. インシデント対応 6. スキャニングの改善 7. コード監査 8. データ共有 10 Streams 9. ソフトウェア部品表 (SBOM)の普及 10. サプライチェーンの改善 1. セキュアな OSS の作成 2. 脆弱性の検出と修復の強化 3. エコシステムのパッチ応答 時間を短縮
Copyright Cybertrust Japan Co., Ltd. ▪ 「OSS Security Mobilization Plan」の現状と今後について、Christopher
Robinson(Intel)からのセッション ▪ Mobilization の意義:OSS セキュリティ強化に関する活動を一本化するこ とで、 • 各国が強めつつある法的規制が OSS に与える悪影響を低減する • 全ての関係者がリスク判断するための情報にアクセスできるようにする ▪ セッションスライド • https://static.sched.com/hosted_files/openssfna2023/4a/OSS-NA%202023%20-%2 0OSSFDay%20-%20Mobilizing%20for%20the%20Mobilization%20Plan%20%281%2 9.pptx.pdf Mobilizing for the Mobilization Plan Christopher “CRob” Robinson
Copyright Cybertrust Japan Co., Ltd. ▪ EU : Cyber Resilience
Act, Product Liability Directive • 「全てのデジタル製品」が対象 • SBOM作成、アップデートの提供などを義務化 • リスクレベルにより 自己適合宣言 or 第三者認証 を求める ▪ ドイツ: The Law on the Federal Office for Information Security • 連邦情報セキュリティー庁(BIS)の権限強化(監査、情報取得、改善命令) • 重要インフラは重要部品の信頼性保証書届け出を義務化、政府が利用禁止命令 可能 ▪ ASEAN: 2025年目標にサイバーセキュリティ規制の策定を目指す ▪ 日本: 経済安全保障推進法 • 基幹インフラ14事業のシステム導入・更新でサイバーセキュリティに関する政府審 査を義務化 参考: 各国の法的規制
Copyright Cybertrust Japan Co., Ltd. 活発な Stream といまひとつな Stream が出てきている
勝手な所感 #1 セキュリティ教育 #2 リスク評価 #3 デジタル署名 #4 メモリー安全性 #5 インシデント対応 #6 スキャニングの改善 ? #7 コード監査 ? #8 データ共有 ? #9 ソフトウェア部品表(SBOM)の普及 #10 サプライチェーンの改善
Copyright Cybertrust Japan Co., Ltd. #1 教育 ▪ 開発マネージャーへのトレーニングコースを開発中 ▪
DEI にフォーカスした教育コースを整備、オフィスアワーを設置 • DEI : Diversity (多様性), Equality (平等), Inclusion (受容) ▪ 教育のためのマテリアル、講師募集中 #3 デジタル署名 ▪ sigstore が GitHub Actions、LLVM リリースなど多くのケースで使われ始め ている 活発な Streams
Copyright Cybertrust Japan Co., Ltd. #4 メモリセーフ ▪ メモリーセーフな開発のためのベストプラクティスとツールを収集中 ▪
主要な OSS PJ への資金的な援助を OpenSSF とそのメンバに呼びかけ ▪ C、C++ といった伝統的言語でのメモリセーフ開発手法があれば是非提供して ほしい #9 SBOM ▪ SBOM は各種規制・法令から注目されており、今後多くのツールや具体的な使 い方が出てくることを予想 ▪ 活発に議論されているが「進みが遅い」 ▪ OSS 以外も含めた SBOM 利用の大きな「絵」を描くことが最重要課題 ▪ 2つのゴール: • SBOM の取り扱い・相互運用を簡単にすることで利用促進する • ツールを OSS 界に普及させる (いくつかの PJ と協働して普及策を見出す) 活発な Streams
Copyright Cybertrust Japan Co., Ltd. #6 スキャニング改善 #7 コード監査(特に Alpha)
▪ Alpha PJ 対象: Node.js、Eclipse、Rust、JQuery, Python ▪ 関係者のオフライン発言「お金の問題」 • 景気後退局面にあって、エンジニアリソースはむしろ獲得しやすいとも (実際、Omega PJ は 2022年 に2名のフルタイムエンジニアを獲得している) #8 データ共有 ▪ (特に言及なし) いまひとつ?な Streams
Copyright Cybertrust Japan Co., Ltd. #2 リスク評価 ▪ 情報公開のためのダッシュボードを metrics.openssf.org
に作成中、5月末 にβ版公開予定 ▪ ダッシュボードの UI(フロントエンド)開発への協力求む #5 インシデント対応 ▪ VINCE ツールの強化を実行中 • VINCE: CMU の脆弱性管理プラットフォーム ▪ https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=651691 ▪ SIREN に脆弱性通知サービスを提案 ▪ OSS PJ にどのような脆弱性対応を行なっているかサーベイを計画中 • 注: 具体的にどの PJ かは語られなかった その他の Streams(順調?)
Copyright Cybertrust Japan Co., Ltd. #10 サプライチェーンの改善 ▪ 開発ワークフローの中でスキャン、修正、SBOM 生成を自動的に行うため
の一貫したツール群を「Sterling Toolchain」として OpenSSF の Governing Board に提案中 その他の Streams(順調?) ※ セッションスライド p.34 より
Copyright Cybertrust Japan Co., Ltd. “Plan” という言葉はあいまい ▪ 各章に関連する各 SIG
が、実行計画、その理由、必要なリソースをより具体的に書き 換えてほしい 活動の状況はどこを見ればよいのかよく分からない ▪ 関連した活発なコミュニティに参加するのがよいのではないか 活動の成功のカギはなにか ▪ 活発な活動や WG に参加・連携するのがよいのでは → 2023年中のプラン改訂を予定 教訓と期待される対応・改善
Copyright Cybertrust Japan Co., Ltd. Stream と関連コミュニティ ※ セッションスライド p.42
より
Copyright Cybertrust Japan Co., Ltd. 1. セキュリティ教育 安全なソフトウェア開発の基本に関する教育と認定をすべての人に提供する。 ▪ Secure
Software Development Fundamentals Courses ▪ OpenSSF Fundamentals Courses SIG 2. リスク評価 OSSコンポーネントのトップ1万件(またはそれ以上)について、一般に公開され、ベン ダーニュートラルで、客観的指標に基づくリスク評価ダッシュボードを開設・確立する。 ▪ LFX ▪ OpenSSF Best Practices badge 3. デジタル署名 ソフトウェアリリースでデジタル署名の採用を加速させる。 ▪ sigstore 参考:10 Streams(活動の流れ)
Copyright Cybertrust Japan Co., Ltd. 4. メモリー安全性 メモリー非安全な言語を置き換えることで、多くの脆弱性の根本的な原因 を排除する。 ▪
Linux Kernel の Rust 対応 5. インシデント対応 OpenSSF Open Source Security Incident Response Team を立ち上げる。脆 弱性対応時の重要な時に、オープンソースプロジェクトの支援に加わるこ とができるセキュリティ専門家のチーム。 6. スキャニングの改善 高度なセキュリティツールと専門家のガイダンスを通して、メンテナーと専 門家による新しい脆弱性の発見を加速させる。 ▪ Alpha-Omega PJ (Omega) 参考:10 Streams(活動の流れ)
Copyright Cybertrust Japan Co., Ltd. 7. コード監査 年に1回、最大200個の最も重要なOSSコンポーネントのサードパーティー コードレビュー(と必要な修正作業)を実施する。 ▪
Alpha-Omega PJ (Alpha) 8. データ共有 業界全体のデータ共有を調整して、最も重要なOSSコンポーネントを特定 するための調査を改善する。 9. ソフトウェア部品表(SBOM)の普及 SBOMツールとトレーニングを改善して、導入を促進する。 ▪ SPDX ▪ SBOM Everywhere SIG 参考:10 Streams(活動の流れ)
Copyright Cybertrust Japan Co., Ltd. 10. サプライチェーンの改善 より優れたサプライチェーンセキュリティツールとベストプラクティスで、最 も重要な10のオープンソースソフトウェアビルドシステム、パッケージマ ネージャー、ディストリビューションシステムを強化する。
▪ Supply-chain Levels for Software Artifacts (SLSA) 参考:10 Streams(活動の流れ)
Copyright Cybertrust Japan Co., Ltd. Getting Involved in Sigstore Research
Projects (Hayden Blauzvern, Google)
Copyright Cybertrust Japan Co., Ltd. Getting Involved in sigstore Research
Projects ▪ Hayden Blauzvern (Google) から、“sigstore” への参加・貢献しどころの紹 介 • “Research Projects” なので、やや将来的なお話し ▪ セッションスライド • https://static.sched.com/hosted_files/openssfna2023/ca/Getting%20Involved%20i n%20Sigstore%20Research%20Projects%20-%20OpenSSF%20Day%20%2723.pdf
Copyright Cybertrust Japan Co., Ltd. ▪ コードなどの成果物に署名する・署名を検証するための仕組み ▪ 複数のサービスとツールで構成される ▪
署名鍵の管理が不要 • 鍵は作成して署名に使ったらすぐ捨てる • 永続的な信用情報は、署名時点で有効な鍵(証明書)が存在したログ ▪ 位置づけ: 署名に対する sigstore == TLS に対する Let’s Encrypt ▪ GitHub Actions、LLVM リリースなど多くのケースで採用 おさらい: sigstore とは https://www.sigstore.dev/
Copyright Cybertrust Japan Co., Ltd. プライベートデータの保護 ▪ ZKP: Zero Knowledge
Proof • メールアドレス、プライベートレポジトリなどのプライベート情報を使わずに署名検 証を可能にする • 目的:情報を透明ログから外に出さない ▪ VRF: Verifiable Random Function • Key Transparency の E2E 暗号化Appで使用されている • 目的:クライアントが正しいサーバと通信していることを保証する? ▪ PIR : Privacy Information Retrieval • どのエントリをクエリしているか知られずにクエリする • 目的: 何をインストールしようとしているかの情報をログクエリにも与えない 貢献のしどころ
Copyright Cybertrust Japan Co., Ltd. 透明性ログのスケーラビリティ ▪ 大規模な witness network
の実装 • Witness NW : チェックポイントを設けて整合性(改ざんされていないこと)をチェック ▪ Gossiping protocols(ゴシッププロトコル) • ログサーバー間の情報整合 認証ポリシー ▪ Rego, CUE などポリシー言語のクライアントへの採用 • 認証キーとして何を用いるかを選択できるようにする、など ▪ Binary Authorization との連携 • コンテナイメージのデプロイにポリシーを適用する Google のサービス • sigstore による検証で不正・不良イメージのデプロイを禁止できる ▪ 人の認証 vs マシン認証 • 現状の sigstore はメールアドレス = 人 を認証主体としている • GitHub Action などアーティファクトが自動で生成される場合はマシンを認証主体にすべ き? 貢献のしどころ
Copyright Cybertrust Japan Co., Ltd. The Update Framework での sigstore
活用 ▪ アップデートに対する脅威: Roll-back 攻撃・Freeze 攻撃 ▪ sigstore により鍵の危殆化リスクを排除する ▪ TUF クライアントの API 強化、言語バインド Roughtime の利用 ▪ 非常に短い有効期間の証明書を使用する sigstore にとって、時刻情報は 極めて重要 ▪ Roughtime で信頼性のある時刻情報を得る 貢献のしどころ
Copyright Cybertrust Japan Co., Ltd. おまけ: Vancouver, Canada
Copyright Cybertrust Japan Co., Ltd. ▪ 言わずと知れたカナダ西海岸最大の都 市です ▪ 樺太と同じ程度の高緯度で、夏は西海
岸らしい気持ちのよい気候です ▪ 飛行機は測地線で飛ぶので日本からは 8時間程度で着きます ▪ カナダ最大の港湾都市であるとともに、 林業、観光業が盛んな国際都市です ▪ 静かな入り江の向こうに残雪の山が見 える、非常に美しい街です おまけコーナー: Vancouver, BC, Canada
Copyright Cybertrust Japan Co., Ltd. 信頼とともに 留意事項 本資料に記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。 その他本資料に記載されているイラスト・ロゴ・写真・動画・ソフトウェア等は、当社または第三者が有する知的財産権やその他の権利により守られております。 お客様は、当社が著作権を有するコンテンツについて、特に定めた場合を除き、複製、改変、頒布などをすることはできません。
本資料に記載されている情報は予告なしに変更されることがあります。また、時間の経過などにより記載内容が不正確となる場合がありますが、当社は、当該情報を更新す る義務を負うものではありません。