Secure OSS Community Day North America イベントレポート

Transcript

1. Secure OSS Community Day North America
 イベントレポート
 OSS Security Meetup

   in Japan
 May 13, 2024
 サイバートラスト株式会社 IoT事業本部
 池田 宗広


2. イベント概要
 ▪ Secure OSS Community Day NA (SOSS Com Day)

   • 日時： 2024/04/15 • 主催： OpenSSF ▪ OSSNA のコロケーションイベントとして、OSSNA の前日に開催 ▪ OpenSSF 活動に絞って報告と議論を行う場 ▪ キーノート2本に続けて、全22セッションを ２トラックで開催 ▪ Open Source Summit North America 2024 (OSSNA) • 日時： 2024/04/16～18 • 主催： The Linux Foundation ▪ AM 前半はキーノート、以降テーマごとにトラックを 分けたブレークアウトセッション • キーノート 21, セッション 200+ (Panel Discussion Lightning talk, Unconference 含む） Seattle Convention Center “Summit”

3. Secure OSS Community Day
 ▪ SBOM/SWSCS • SPDX 3.0 がついに正式リリース

   ▪ 今後は Hardware, Operation Profile の追加を計画 ▪ SPDX は Software Package Data eXchanige -> System… に改称 • セキュリティフレームワークの使い分け ▪ 開発：SLSA、利用：S2C2F • SBOM 利用者のためのツール： Protobom、GUAC ▪ （開発者ではなく）ユーザー視点 • コミュニティ参画を促す活動「 DevRel Community」の立ち 上げ • OSS を安全に「使う」ことについて、複数のセッション ▪ NYU 学生をコミュニティ参画させたプログラムの報告 • トレーニング受講者は 47% が OSS ユーザー企業・団体 (Omkhar) ▪ その他のトピック • xz-utils 事件 ▪ セキュリティというよりは信頼（Trust）の問題であり、この２つは 分けて考える必要がある（Omkhar） • 司会が CRob (Intel) から Jay White (MS) に交代 Omkhar Arasaratnam (GM, OpenSSF) 主トピック： SBOM/SWSCS、OSSユーザーの視点 • 参加者100名強（目算）、日本からの参加者は CTJ、日立、ソニーなど

4. Open Source Summit North America 2024
 ▪ セキュリティは変わらずホットな話題 • xz-utils

   は Linus 対談でも話題に ▪ LF の AI への注力を感じるキーノート • Keynote 8/21 本で AI が主題 • 期待は OSS で起こった Open による革新 ▪ ライセンス変更による非OSS化に警戒の色あ り...？ • AWS は Valkey (Redis のフォーク)、OpenSearch (ElasticSearch のフォーク) についての2本のキー ノートを持っていたが... ▪ 公共、特に防衛セクターの OSS への関心 • 軍でのOSS利用、空軍サイバー戦部隊のセッショ ンあり • 「ハッカーが軍を離れる一番の理由は給料では なく queep だ」(Casey Miller, 67 Cyberspace Operations Group) セッションは SWSCS、公共、OSPO の話題を中心に参加 • 参加者 1,000名程度(目算)、日本からは10名強（Sony、NEC、日立、TMC、Runesas） Linus/Dirk 対談 @OSS NA 2024

5. 注目のセッションご紹介
 Secure OSS Community Day
 • Keynote: SBOMs Everywhere: Work

   in Progress & Challenges Ahead • Compiler Options Hardening for C and C++ • Love Open Source in Your Supply Chain, but Worried About Security? the OpenSSF Community Can Help! • — — 以下オプション — — • New Foundations of SBOM Are Underway at OpenSSF What Makes a Project Critical? Discovering and Evaluating Popular Open Source Software • Every Journey to Securing the Software Supply Chain, Starts with a Single (Baby) Step

6. ▪ SPDX 3.0 が正式リリース • AI/ML, セキュリティ・重要用途への対応（対応プロファイルの定義） • シンプルかつ柔軟な構造的記述 ▪

   SBOM を取り巻く背景 • 規制・法令： US EO、NTIA Guideline、重要インフラのサイバーセキュリティに係る 行動計画、FDA/IMDRF の Cybersecurity BoM、EU CRA • ハードウェアや AI の学習データセットまで含める要求あり ▪ SPDX の今後 • Hardware Profile、Operation Profile • Software Package Data eXchanige → System Package Data eXchange Keynote: SBOMs Everywhere: Work in Progress & Challenges Ahead
 Speaker : Kate Stewart, VP, Dependable Embedded Systems, The Linux Foundation Slides : 20240415 SOSS SBOMs

7. ▪ C/C++ で書かれたソフトウェアを少しでも安全にするため、安全なコンパ イルオプションを自動的に適用するガイドを作成 • https://best.openssf.org/Compiler-Hardening-Guides/Compiler-Option s-Hardening-Guide-for-C-and-C++ ▪ ガイドは以下をカバー •

   推奨オプション ▪ フォーマットチェック、暗黙の型変換禁止、スタック保護、etc. • 避けるべきオプション ▪ サーチパスの上書き (-Wl, -rpath, path_to_so) • 問題の検出方法 • デバッグ用データをリリースビルドから排除する方法 • GCC と Clang についての注釈 ▪ ガイドへのコメント、修正貢献を歓迎する Compiler Options Hardening for C and C++
 Speaker : Georg Kunz, Ericsson Slides : Georg Kunz Compiler Options Hardening Guide For C And C++

8. ▪ OpenSSF の PJ がサプライチェーンセキュリティにどう役立つか、一問一答を通じて紹介するパ ネルディスカッション ▪ 依存性管理 (for Sarah)

   • Dell では S2C2F の適用により対応 ▪ セキュリティのマインドセットをカルチャーとするには (for Rao) • 開発者への教育、現状の透明性・可視化 • プロジェクトのセキュア度は Scorecard で定量化するとよい。 • 対処や状況の可視化には自動化が不可欠 • OSS を単に使用・利用するだけではなく、 コミュニティに対するフィードバックを行うことが重要 ▪ コミュニティに参画することの利点（ for Jefferey） • 開発者は新しい機能の開発を行いたくセキュリティには関心が薄いことも多いが、両面をバランスよく取 り組むようにすることがカギ • 数年前から政府は OSS に関心を示すようになったが、当初は「で、誰がこれを直すのか？」といった態 度だった。しかし OSS は「デジタル公共財」 と捉える必要がある。誰が直すのかではなく、ユーザーも含 めたコミュニティ全体で良くしていくべきものだという意識が重要 ▪ Q&A • S2C2F と SLSA はどちらもセキュリティフレームワークだが、違いは何か ▪ 適用するフェーズが異なる ▪ OSS を開発・ビルドする際には SLSA を参照・適用 する ▪ 企業がその OSS を利用して製品などを開発する際、つまり OSS が企業の境界より内側に入ってきてからは S2C2F を参 照する Love Open Source in Your Supply Chain, but Worried About Security? the OpenSSF Community Can Help!
 Speakers : Jeffrey Borek, IBM; Sarah Evans, Dell Technologies; Rao Lakkakula, JPMorgan Chase

9. ▪ フォーマットに依存しない SBOM reader/writer「Protobom」の紹介 • SBOM の第三のフォーマット **ではなく**、SBOM の抽象化レイヤ ▪

   Protobom (https://github.com/protobom) • SBOM フォーマットに依存しないユニバーサルな I/O レイヤ ▪ SPDX, CycloneDX に対応 ▪ SBOM に特化 （provenance や VEX には使えない） • プラガブルなリーダおよびシリアライザ・ライター • 可視化 API • グラフベースのデータ構造 ▪ 今後の予定 • bomctl、SBOMit、bomshell、sbom-convert、OpenVEX、GUAC といったツールとの 連携を進める New Foundations of SBOM Are Underway at OpenSSF
 Speaker : Adolfo García Veytia, Stacklok Slides : N/A Option

10. ▪ 重要な OSS PJ に対し支援を行う Securing Critical Project WG についての紹介

    ▪ PJ が継続できなくなるリスク（Risk）= PJ の重要性と継続不能となる確率 • PJ の重要性 ▪ PJ 継続不能の影響が顕著か、広く使われているか • 「継続不能となる確率」の指標 ▪ PJ の大きさ（注：「size」とあったが、SW の大きさのこと？）、支援者の有無、技術的難易度、セキュリティ対策 （Scorecard で定量化できる） • 「継続不能の影響」で考慮すべき事項 ▪ 使われる分野 • ネットワーク、基本的ライブラリ、ユーザー入力などは影響が大きい • セキュリティに関連したものは影響が大きい ▪ ユースケース • 重要なシステムに使われているものは影響が大きい • 個人ブログなどで利用されているものは影響が小さい ▪ アクセス経路 • 監視ライブラリ、http サーバなどは影響が大きい • スタンドアローンのものは影響が小さい • 「広く使われていること」で考慮すべき事項 ▪ システムの基盤部分のソフトウェアかどうか、ダウンロード数、その分野で Top 5 または Top 10 と言われる PJ かどうか、よく使われている言語、コンパイラ、パッケージマネージャなどかどうか ▪ まずは 100 PJ を対象 PJ としてリストアップ ▪ さらに支援対象の PJ を絞り込んだ上で実際の支援を行うことが次のステップ What Makes a Project Critical? Discovering and Evaluating Popular Open Source Software
 Speaker : Jeff Mendoza, Kusari Slides : What Makes A Project Critical Option

11. ▪ NYU の学生に OSS 活動を促した経緯の報告 • ゴール： 学期中にコミュニティを形成してプロトタイプを作ること ▪ 実際に行われた

    PJ • lincc ： ライセンスの整合性チェッカー • 予見性のある依存性解決 ▪ SAT ソルバーの課題： 場合により結果が異なる ▪ 常に同一の結果が得られるように、「バックトレーシングアルゴリズム」を使った依存性解決の仕組 みを作成 • Temper： C/C++ に対して自動的に安全なコンパイルオプションを適用する ▪ やってみて分かったこと • コミュニティとの関わり方は最初はよく分からない。こういったカンファレンスは 他の OSS と関わる良い機会になる • 実際的でかつ解決できる課題を探すことは思ったよりも難しい。 例えば課題がみつかって も解決しきれないほど大きい・難しいということがよくあった • 人は、大きなコードベースに取り組む（継承する）ことは好まないが、他人の出したアイ ディアに乗っかることはあまり嫌がらない。 ▪ コミュニティとの関わり方については、コミュニティの一員になることを後押しす るガイドがあるとよいのではないか → DevRel Community がこれに対応する動き？ Every Journey to Securing the Software Supply Chain, Starts with a Single (Baby) Step
 Speaker : Justin Cappos, NYU Slides : 2024 OSS NA Every Journey To Securing The Software Supply Chain, Starts With A Single (Baby) Step Option

12. 注目のセッションご紹介
 Open Source Summit North America 2024
 • Panel Discussion:

    Improving Supply Chain Integrity with OpenSSF Technologies • Linus / Dirk 対談 • — — 以下オプション — — • Recruiting and Retaining Hackers in the DoD

13. ▪ サプライチェーンセキュリティ向上のための種々プロジェクトについて広く紹介するパネルディスカッション • このパネルディスカッションは OpenSSF の Supply Chain Integrity WG

    が主体となって開催 ▪ SLSA • 開発者とビルドプラットフォーム運用者に対する要求を定義。各工程の証跡として provenance の生成を要求 • Ver.1 ではビルドプロセスのみを対象とし、Level 1~3 を定義 ▪ S2C2F • OSS をどう安全に利用するかについてのガイド。脆弱性を適時・適切に報告する方法についても記載 • 現在依存性管理について注力 ▪ Gittuf • Git をよりセキュアに使用するためのセキュリティレイヤ • 安全にアップデートを提供するための基準・実装である TUF から思想を導入している ▪ GUAC • サプライチェーンセキュリティに関する様々なメタデータを意味付け・可視化するためのツール ▪ FRSCA • セキュアな CI パイプラインのためのリファレンスアーキテクチャ ▪ xz-utils 事件に関して • 完璧ではないが対策を行い、対策の領域を広げていくべき（シートベルトをしても死者は出るが、しなくてよいわけではない） • (MS の Jay White) 空挺作戦では他の人が装備をチェックする。自分ではなく、他人がチェックするということが重要で、OSS も同じ。 例えば Log4j のメンテナは一人しかいなかった。 ▪ 会場から：重要インフラの安全性を高めるためにはどこに注力すべきか。どういったツールがあるか • データに注力すべき。どのツールかはどこに課題があるか・どこに取り組むべきかがユーザーによって異なるので、場合による • GUAC で視点をまとめるのがよいのではないか Panel Discussion: Improving Supply Chain Integrity with OpenSSF Technologies
 Speakers : Arnaud Le Hors, IBM; Jay White, Microsoft; Isaac Hepworth, Google; Michael Lieberman, Kusari; Marcela Melara, Intel Corporation

14. ▪ 大勢の前で話すのは慣れないので、いつものように Dirk との対談という形でやる。発言の責任は全部 Dirk にあるのでよろしく ▪ Linux Kernel •

    Linux Kernel は30年以上にわたるプロジェクトであまり面白い話題はなくなってきているかもしれないが、面白い話題 がないということは成熟しているということであり悪いことではないと思っている ▪ ハードウェア • ハードウェアバグそのものではなく、バグが見つかっても「 5世代前のもののバグなので今更直せない」と言われるこ とがフラストレーション • RISC-V の普及には期待している。オープンなので x86、ARM より早く間違いに気づけるのではないか。課題はハード ウェアとソフトウェアの開発者の間にあるギャップ ▪ xz-utils 事件 • xz のバックドアはカーネルには無関係ということは最初にはっきりとさせたい • 信頼をクラックした xz の件は重大な事件で、ミネソタ大学事件と同様。ただし信頼に基づいているのは企業の社員 同士でも同じなので OSS 特有の問題というわけではない • xz のバックドアが仕込まれて数週間で発見されたことは、 OSS がセキュリティに対して強固であることを示している の ではないか ▪ AI • (Dirk) Linus の仕事は AI に取って代わられるでしょうか？ → (Linus) ついにその日が来たか (LoL) • AI に関しては楽観的。BS な物事も色々あるが有用なツールは便利なので、AI も有用なツールとして使うべき 。Linux Kernel には複雑なコードが多くあるので、そういった部分の改良に AI は役に立つのではないか。 ▪ 私が始めたプロジェクトは、それが必要だから始め、周りにいた有能な人々の助けで成功した。 Linux Kernel もそう。いまはそれ以外に興味のあることはないかな Linus / Dirk 対談
 Speakers : Linus Torvalds, Creator of Linux & Git ,with Dirk Hohndel, Head of the Open Source Program Office, Verizon

15. • Rebecca Lively, Defense Unicorns & Casey Miller, 67 Cyberspace

    Operations Group ▪ アメリカ空軍のサイバー戦中隊「 Shadow’s Edge」メンバーが語る、ハッカー軍人の実態 ▪ Shadow’s Edge • 2021年から活動している空軍のサイバー戦部隊。現代の戦場は「 Software Defined Warfare」とも言われ ているほどサイバー戦は重要な位置づけ • 仕様を策定してそれを民間に委託して開発させ納めさせるということを長年続けてきた軍は、民間の開 発力・技術力についていけなくなってしまった • ソフトウェア開発者の能力は一般の正規分布に従わず、能力の高い開発者は平均の何倍、何十倍もの 成果を生み出す • 委託ではなく内部に「ハッカー」を入れ、サイバー戦の戦力を向上することにした ▪ 人材の定着は上手くいっておらず、 去る人の一番の理由は「queep」、つまり意味が感じられ ないペーパーワーク ▪ 短期的改善策 • 理解のある上官を見つけ（または育て）てハッカーは queep を好まないということを認識させる ▪ 長期的改善策 • ハッカーになりたい人が入りたいと思える組織となる必要がある → 旧来の軍隊ではなく、サイバー軍を創設するのがよい ▪ 「パイロットになりたい人がレストランに就職しないですよね？」 ▪ Shadow’s Edge の隊員はみな、OSS に貢献したいと考えていることは知っておいてほしい Recruiting and Retaining Hackers in the DoD
 Speakers : Rebecca Lively, Defense Unicorns & Casey Miller, 67 Cyberspace Operations Group Option

16. ▪ 港の市場（Public Market）、坂、スペース ニードルで知られる米国最北西の大都 市です • 米国本土では日本から最も近い都市です ▪ 樺太南部と同じくらいの高緯度ですが、 西海海洋性気候のため温暖で夏は格別

    の気持ちよさです • その代わり冬は半年間雨が降り続けます ▪ Amazon, Boeing, Microsoft(正確には隣 の Redmond) など有力企業が多数あり、 全米でも指折りの高所得の街です • ただコロナ禍で状況が大分変わったようで、 「Now Reasing」の表示やホームレスも目立 ちました • Starbucks の本拠地でもあり、Jimi Hendrix、 Kurt Cobain を生んだ街でもあります おまけコーナー： Seattle, Washington, USA


17. 留意事項 本資料に記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。 その他本資料に記載されているイラスト・ロゴ・写真・動画・ソフトウェア等は、当社または第三者が有する知的財産権やその他の権利により守られております。 お客様は、当社が著作権を有するコンテンツについて、特に定めた場合を除き、複製、改変、頒布などをすることはできません。 本資料に記載されている情報は予告なしに変更されることがあります。また、時間の経過などにより記載内容が不正確となる場合がありますが、当社は、当該情報を更新する義 務を負うものではありません。