Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Open Source Summit NA / OpenSSF Day報告

Linux Foundation Japan
PRO
June 05, 2023
Technology
0
58

Open Source Summit NA / OpenSSF Day報告

サイバートラスト株式会社 IoT技術本部 池田宗広氏
2023年6月2日開催 第2回 OSSセキュリティMeetup 講演資料

Linux Foundation Japan
PRO

June 05, 2023
Tweet

More Decks by Linux Foundation Japan

See All by Linux Foundation Japan
イベントレポート OpenSSF Day Vancouver
lfj
PRO
0
73
OpenSSF Day / OSS NAにおけるSBOM、SLSAの動向
lfj
PRO
0
140
AGL Japan Meetup BoF
lfj
PRO
0
61
Automotive Grade Linux (AGL) Meetup Japan - AGL All Member Meeting (AMM) in Berlin March 2023 Report -
lfj
PRO
0
120
OSSセキュリティ強化の重要性とOpenSSFの概要
lfj
PRO
0
180
OpenSSF WGs 紹介 : Securing Software Repositories / Security Tooling
lfj
PRO
0
140
Best Practices for Open Source Developers Working Group 活動内容のご紹介
lfj
PRO
0
110
トレーニングコースLFD121-JP「セキュアソフトウェア開発」のご紹介
lfj
PRO
0
140
みんなの自動翻訳@TexTraのご紹介
lfj
PRO
0
100

Other Decks in Technology

See All in Technology
サービスへの影響を抑えてデータベースの移行を実施したはなし Aurora MySQL -> Cloud SQL
pistatium
0
130
著作権とは何か?〜初歩的概念から権利利用法、侵害要件まで
line_developers
PRO
5
920
重厚長大な企業の内製開発組織で成果を出すためのサーバーレスアーキテクチャ / ServerlessDays Tokyo 2023
mongolyy
3
690
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
11
29k
ブロックエディタをゴリゴリに使い倒してサイトを作った話 / Kansai WordPress Meetup 2023 09 23
torounit
13
6.6k
モチベーションサイクルという観点でQAをしよう
mixi_engineers
PRO
1
150
サーバーレスで仮想待合室を作ろう! / Serverless Virtual Waiting Room
_kensh
3
1.1k
今改めて見直してみるラズパイの真価
hamadakoji
1
150
土壌と植物で奏でるアート~農業における新たなパラダイム~
shinrinakamura
0
190
Google Cloud Updates 2023/08/16 - 2023/08/31
no24oka
1
100
Code Review Challenge: An example of a solution
line_developers
PRO
1
200
Microsoft Azure Well-Architected Framework でセキュアに
masakamayama
1
190

Featured

See All Featured
Into the Great Unknown - MozCon
thekraken
7
600
The Illustrated Children's Guide to Kubernetes
chrisshort
26
45k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
112
17k
How to Ace a Technical Interview
jacobian
272
22k
Rails Girls Zürich Keynote
gr2m
90
12k
Unsuck your backbone
ammeep
660
56k
Faster Mobile Websites
deanohume
296
29k
For a Future-Friendly Web
brad_frost
168
8.2k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
39
3.9k
Robots, Beer and Maslow
schacon
154
7.6k
The Straight Up "How To Draw Better" Workshop
denniskardys
226
130k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
152
14k

Transcript

  1. Copyright Cybertrust Japan Co., Ltd.
    Security Meetup Tokyo

    Open Source Summit NA / OpenSSF Day 報告

    2023/06/02

    サイバートラスト株式会社

    IoT技術本部

    池田 宗広


    View Slide

  2. Copyright Cybertrust Japan Co., Ltd.
    Agenda

    OSSNA / OpenSSF Day 2023 で興味深かったセッションを紹介します
    ■ Mobilizing for the Mobilization Plan (Christopher Robinson, Intel)
    ■ Getting Involved in Sigstore Research Projects (Hayden Blauzvern, Google)
    +おまけコーナー
    ■ Vancouver, Canada

    View Slide

  3. Copyright Cybertrust Japan Co., Ltd.
    Mobilizing for the Mobilization Plan

    (Christopher Robinson, Intel)


    View Slide

  4. Copyright Cybertrust Japan Co., Ltd.
    3つの目標(3 Goals)と10 の主要な問題(10 Streams)を定義・特定
    ● 日本語版:https://www.linuxfoundation.jp/publications/2022/08/oss_security_mobilization_plan/
    ● OSS Security Summit II @ Whitehouse で提案・宣言
    あらためて:OSS Security Mobilization Plan

    3 Goals
    1. セキュリティ教育
    2. リスク評価
    3. デジタル署名
    4. メモリー安全性
    5. インシデント対応
    6. スキャニングの改善
    7. コード監査
    8. データ共有
    10 Streams
    9. ソフトウェア部品表
    (SBOM)の普及
    10. サプライチェーンの改善
    1. セキュアな OSS の作成
    2. 脆弱性の検出と修復の強化
    3. エコシステムのパッチ応答
    時間を短縮

    View Slide

  5. Copyright Cybertrust Japan Co., Ltd.
    ■ 「OSS Security Mobilization Plan」の現状と今後について、Christopher
    Robinson(Intel)からのセッション
    ■ Mobilization の意義:OSS セキュリティ強化に関する活動を一本化するこ
    とで、
    ● 各国が強めつつある法的規制が OSS に与える悪影響を低減する
    ● 全ての関係者がリスク判断するための情報にアクセスできるようにする
    ■ セッションスライド
    ● https://static.sched.com/hosted_files/openssfna2023/4a/OSS-NA%202023%20-%2
    0OSSFDay%20-%20Mobilizing%20for%20the%20Mobilization%20Plan%20%281%2
    9.pptx.pdf
    Mobilizing for the Mobilization Plan

    Christopher “CRob” Robinson

    View Slide

  6. Copyright Cybertrust Japan Co., Ltd.
    ■ EU : Cyber Resilience Act, Product Liability Directive
    ● 「全てのデジタル製品」が対象
    ● SBOM作成、アップデートの提供などを義務化
    ● リスクレベルにより 自己適合宣言 or 第三者認証 を求める
    ■ ドイツ: The Law on the Federal Office for Information Security
    ● 連邦情報セキュリティー庁(BIS)の権限強化(監査、情報取得、改善命令)
    ● 重要インフラは重要部品の信頼性保証書届け出を義務化、政府が利用禁止命令
    可能
    ■ ASEAN: 2025年目標にサイバーセキュリティ規制の策定を目指す
    ■ 日本: 経済安全保障推進法
    ● 基幹インフラ14事業のシステム導入・更新でサイバーセキュリティに関する政府審
    査を義務化
    参考: 各国の法的規制


    View Slide

  7. Copyright Cybertrust Japan Co., Ltd.
    活発な Stream といまひとつな Stream が出てきている
    勝手な所感

    #1 セキュリティ教育
    #2 リスク評価
    #3 デジタル署名
    #4 メモリー安全性
    #5 インシデント対応
    #6 スキャニングの改善 ?
    #7 コード監査 ?
    #8 データ共有 ?
    #9 ソフトウェア部品表(SBOM)の普及
    #10 サプライチェーンの改善

    View Slide

  8. Copyright Cybertrust Japan Co., Ltd.
    #1 教育
    ■ 開発マネージャーへのトレーニングコースを開発中
    ■ DEI にフォーカスした教育コースを整備、オフィスアワーを設置
    ● DEI : Diversity (多様性), Equality (平等), Inclusion (受容)
    ■ 教育のためのマテリアル、講師募集中
    #3 デジタル署名
    ■ sigstore が GitHub Actions、LLVM リリースなど多くのケースで使われ始め
    ている
    活発な Streams


    View Slide

  9. Copyright Cybertrust Japan Co., Ltd.
    #4 メモリセーフ
    ■ メモリーセーフな開発のためのベストプラクティスとツールを収集中
    ■ 主要な OSS PJ への資金的な援助を OpenSSF とそのメンバに呼びかけ
    ■ C、C++ といった伝統的言語でのメモリセーフ開発手法があれば是非提供して
    ほしい
    #9 SBOM
    ■ SBOM は各種規制・法令から注目されており、今後多くのツールや具体的な使
    い方が出てくることを予想
    ■ 活発に議論されているが「進みが遅い」
    ■ OSS 以外も含めた SBOM 利用の大きな「絵」を描くことが最重要課題
    ■ 2つのゴール:
    ● SBOM の取り扱い・相互運用を簡単にすることで利用促進する
    ● ツールを OSS 界に普及させる (いくつかの PJ と協働して普及策を見出す)
    活発な Streams


    View Slide

  10. Copyright Cybertrust Japan Co., Ltd.
    #6 スキャニング改善
    #7 コード監査(特に Alpha)
    ■ Alpha PJ 対象: Node.js、Eclipse、Rust、JQuery, Python
    ■ 関係者のオフライン発言「お金の問題」
    ● 景気後退局面にあって、エンジニアリソースはむしろ獲得しやすいとも
    (実際、Omega PJ は 2022年 に2名のフルタイムエンジニアを獲得している)
    #8 データ共有
    ■ (特に言及なし)
    いまひとつ?な Streams


    View Slide

  11. Copyright Cybertrust Japan Co., Ltd.
    #2 リスク評価
    ■ 情報公開のためのダッシュボードを metrics.openssf.org に作成中、5月末
    にβ版公開予定
    ■ ダッシュボードの UI(フロントエンド)開発への協力求む
    #5 インシデント対応
    ■ VINCE ツールの強化を実行中
    ● VINCE: CMU の脆弱性管理プラットフォーム
    ■ https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=651691
    ■ SIREN に脆弱性通知サービスを提案
    ■ OSS PJ にどのような脆弱性対応を行なっているかサーベイを計画中
    ● 注: 具体的にどの PJ かは語られなかった
    その他の Streams(順調?)


    View Slide

  12. Copyright Cybertrust Japan Co., Ltd.
    #10 サプライチェーンの改善
    ■ 開発ワークフローの中でスキャン、修正、SBOM 生成を自動的に行うため
    の一貫したツール群を「Sterling Toolchain」として OpenSSF の Governing
    Board に提案中
    その他の Streams(順調?)

    ※ セッションスライド p.34 より

    View Slide

  13. Copyright Cybertrust Japan Co., Ltd.
    “Plan” という言葉はあいまい
    ■ 各章に関連する各 SIG が、実行計画、その理由、必要なリソースをより具体的に書き
    換えてほしい
    活動の状況はどこを見ればよいのかよく分からない
    ■ 関連した活発なコミュニティに参加するのがよいのではないか
    活動の成功のカギはなにか
    ■ 活発な活動や WG に参加・連携するのがよいのでは
    → 2023年中のプラン改訂を予定
    教訓と期待される対応・改善


    View Slide

  14. Copyright Cybertrust Japan Co., Ltd.
    Stream と関連コミュニティ

    ※ セッションスライド p.42 より

    View Slide

  15. Copyright Cybertrust Japan Co., Ltd.
    1. セキュリティ教育
    安全なソフトウェア開発の基本に関する教育と認定をすべての人に提供する。
    ■ Secure Software Development Fundamentals Courses
    ■ OpenSSF Fundamentals Courses SIG
    2. リスク評価
    OSSコンポーネントのトップ1万件(またはそれ以上)について、一般に公開され、ベン
    ダーニュートラルで、客観的指標に基づくリスク評価ダッシュボードを開設・確立する。
    ■ LFX
    ■ OpenSSF Best Practices badge
    3. デジタル署名
    ソフトウェアリリースでデジタル署名の採用を加速させる。
    ■ sigstore
    参考:10 Streams(活動の流れ)


    View Slide

  16. Copyright Cybertrust Japan Co., Ltd.
    4. メモリー安全性
    メモリー非安全な言語を置き換えることで、多くの脆弱性の根本的な原因
    を排除する。
    ■ Linux Kernel の Rust 対応
    5. インシデント対応
    OpenSSF Open Source Security Incident Response Team を立ち上げる。脆
    弱性対応時の重要な時に、オープンソースプロジェクトの支援に加わるこ
    とができるセキュリティ専門家のチーム。
    6. スキャニングの改善
    高度なセキュリティツールと専門家のガイダンスを通して、メンテナーと専
    門家による新しい脆弱性の発見を加速させる。
    ■ Alpha-Omega PJ (Omega)
    参考:10 Streams(活動の流れ)


    View Slide

  17. Copyright Cybertrust Japan Co., Ltd.
    7. コード監査
    年に1回、最大200個の最も重要なOSSコンポーネントのサードパーティー
    コードレビュー(と必要な修正作業)を実施する。
    ■ Alpha-Omega PJ (Alpha)
    8. データ共有
    業界全体のデータ共有を調整して、最も重要なOSSコンポーネントを特定
    するための調査を改善する。
    9. ソフトウェア部品表(SBOM)の普及
    SBOMツールとトレーニングを改善して、導入を促進する。
    ■ SPDX
    ■ SBOM Everywhere SIG
    参考:10 Streams(活動の流れ)


    View Slide

  18. Copyright Cybertrust Japan Co., Ltd.
    10. サプライチェーンの改善
    より優れたサプライチェーンセキュリティツールとベストプラクティスで、最
    も重要な10のオープンソースソフトウェアビルドシステム、パッケージマ
    ネージャー、ディストリビューションシステムを強化する。
    ■ Supply-chain Levels for Software Artifacts (SLSA)
    参考:10 Streams(活動の流れ)


    View Slide

  19. Copyright Cybertrust Japan Co., Ltd.
    Getting Involved in Sigstore Research Projects

    (Hayden Blauzvern, Google)


    View Slide

  20. Copyright Cybertrust Japan Co., Ltd.
    Getting Involved in sigstore Research Projects

    ■ Hayden Blauzvern (Google) から、“sigstore” への参加・貢献しどころの紹

    ● “Research Projects” なので、やや将来的なお話し
    ■ セッションスライド
    ● https://static.sched.com/hosted_files/openssfna2023/ca/Getting%20Involved%20i
    n%20Sigstore%20Research%20Projects%20-%20OpenSSF%20Day%20%2723.pdf

    View Slide

  21. Copyright Cybertrust Japan Co., Ltd.
    ■ コードなどの成果物に署名する・署名を検証するための仕組み
    ■ 複数のサービスとツールで構成される
    ■ 署名鍵の管理が不要
    ● 鍵は作成して署名に使ったらすぐ捨てる
    ● 永続的な信用情報は、署名時点で有効な鍵(証明書)が存在したログ
    ■ 位置づけ: 署名に対する sigstore == TLS に対する Let’s Encrypt
    ■ GitHub Actions、LLVM リリースなど多くのケースで採用
    おさらい: sigstore とは

    https://www.sigstore.dev/

    View Slide

  22. Copyright Cybertrust Japan Co., Ltd.
    プライベートデータの保護
    ■ ZKP: Zero Knowledge Proof
    ● メールアドレス、プライベートレポジトリなどのプライベート情報を使わずに署名検
    証を可能にする
    ● 目的:情報を透明ログから外に出さない
    ■ VRF: Verifiable Random Function
    ● Key Transparency の E2E 暗号化Appで使用されている
    ● 目的:クライアントが正しいサーバと通信していることを保証する?
    ■ PIR : Privacy Information Retrieval
    ● どのエントリをクエリしているか知られずにクエリする
    ● 目的: 何をインストールしようとしているかの情報をログクエリにも与えない
    貢献のしどころ


    View Slide

  23. Copyright Cybertrust Japan Co., Ltd.
    透明性ログのスケーラビリティ
    ■ 大規模な witness network の実装
    ● Witness NW : チェックポイントを設けて整合性(改ざんされていないこと)をチェック
    ■ Gossiping protocols(ゴシッププロトコル)
    ● ログサーバー間の情報整合
    認証ポリシー
    ■ Rego, CUE などポリシー言語のクライアントへの採用
    ● 認証キーとして何を用いるかを選択できるようにする、など
    ■ Binary Authorization との連携
    ● コンテナイメージのデプロイにポリシーを適用する Google のサービス
    ● sigstore による検証で不正・不良イメージのデプロイを禁止できる
    ■ 人の認証 vs マシン認証
    ● 現状の sigstore はメールアドレス = 人 を認証主体としている
    ● GitHub Action などアーティファクトが自動で生成される場合はマシンを認証主体にすべ
    き?
    貢献のしどころ


    View Slide

  24. Copyright Cybertrust Japan Co., Ltd.
    The Update Framework での sigstore 活用
    ■ アップデートに対する脅威: Roll-back 攻撃・Freeze 攻撃
    ■ sigstore により鍵の危殆化リスクを排除する
    ■ TUF クライアントの API 強化、言語バインド
    Roughtime の利用
    ■ 非常に短い有効期間の証明書を使用する sigstore にとって、時刻情報は
    極めて重要
    ■ Roughtime で信頼性のある時刻情報を得る
    貢献のしどころ


    View Slide

  25. Copyright Cybertrust Japan Co., Ltd.
    おまけ: Vancouver, Canada


    View Slide

  26. Copyright Cybertrust Japan Co., Ltd.
    ■ 言わずと知れたカナダ西海岸最大の都
    市です
    ■ 樺太と同じ程度の高緯度で、夏は西海
    岸らしい気持ちのよい気候です
    ■ 飛行機は測地線で飛ぶので日本からは
    8時間程度で着きます
    ■ カナダ最大の港湾都市であるとともに、
    林業、観光業が盛んな国際都市です
    ■ 静かな入り江の向こうに残雪の山が見
    える、非常に美しい街です
    おまけコーナー: Vancouver, BC, Canada


    View Slide

  27. Copyright Cybertrust Japan Co., Ltd.
    信頼とともに
    留意事項
    本資料に記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。
    その他本資料に記載されているイラスト・ロゴ・写真・動画・ソフトウェア等は、当社または第三者が有する知的財産権やその他の権利により守られております。
    お客様は、当社が著作権を有するコンテンツについて、特に定めた場合を除き、複製、改変、頒布などをすることはできません。
    本資料に記載されている情報は予告なしに変更されることがあります。また、時間の経過などにより記載内容が不正確となる場合がありますが、当社は、当該情報を更新す
    る義務を負うものではありません。

    View Slide