ソフトウェアサプライチェーンのこれから / Securing Software Supply Chain

Transcript

1. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ 20@731$6983('#"%45&)!  bhfPcaeGYYcVWTRIHYX EQcdFcgUeDYCBSGeeAS` #"%45&„"†'$ƒ’wfs‰sst'69'c€Wq#"%45&ˆ6i

2. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 1 $ whoami 米内 貴志（よねうち たかし

   取締役 CT 日本語ラップと綺麗な型が好 著 『Webブラウザセキュリティ 『詳解セキュリティコンテスト』 株式会社 Flatt Security

3. &0'Ç0%)É2!$#( %ÈÆ01ÅÄ Ã&Â"ÁÀ u@qƒheewE‡yt…‰ergdc)0&0XWUvT„'RP$ˆÃGi É2!$#9†ÁÀ7Ã6ˆ1543ÁV 1ÅPdˆ˜™f•#’4e É2!$ml §x«zœ¡“¨¢Œš˜—”ª§’Ž‹Œ¬x¢Š ¦ˆ¨ˆ‰ zƒ‡†‘…„™Ÿ‚Œ­¥•~|Š

   {y…}…›€wvž–¤©uŠ†£…t• 1ÅPdˆ˜™f•#’4e æãïâéÇ٢ˈÔç„Í›¡€wÕà‚ÒÌʽ Èåð×ÓÑÆÄСš˜ŠëÁŒÏ¾í¼‡Å»„Öº ¸·¶µ¡§x«zƒÅ¼¬xª¿ê±ˆ°‡• ò ò 1ÅÄ Ã’4e ShishowCloudwÇシショ«§x«zÔç„PolicywaswCodå¡取 ž組みŠÏ現…„ソê¿«ェアサ¬x チェˆ¢¡安͊ 守Ì×ÓÑÆÄЬxª¿ê±ˆ°‡• 2 ソフトウェアサプライチェーンセキュリティのこれから © 2022 https://shift-js.info

4. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 A SRQIFPGDPEGCHFCHB T CHpGwvrHsGCPÉiÂÉehdticÆÆa`YhÄÀitUcdÄÉ` ƒ mGpIwnswFPiGqFdFCHBhÀiÂÉehdticÆÆa`YhÄÀitUcdÄÉ` v

   ‚s•BHGpF‡Y”tiđÀÄÀ‘ˆtdÄ~UhÉÄÀÂdicÆÆa`YhÄÀwÀÉt‘dÄÉ` — ¹¨cdÀt`©¬cÄa”h¢Fps¶RQIFPŸPSpRrFRQIFiÂÉehdticÆÆa`YhÄÀ º SÔFPÍvHvpFPÂiÂÉehdticÆÆa`YhÄÀitUcdÄÉ`

5. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 A FEDBC iUfgUcdbDYUVa`DXbgXbdSUa`XEBEbgUCdEXdCEIScDHUdCWGGBRda`DgXdCUaWHgSQ UfUXdSEEdUDHBRdSEdDqEGS‚

6. © 2022 https://shift-js.info 5 Software Supply Chain Security

7. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 6 Supply Chain “ , each

   of which is an acquirer that begins with the sourcing of products and services and extends through the product and service life cycle” the linked set of resources and processes between and among multiple levels of an enterprise NIST SP800.161 Revision 1

8. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 7 Software Supply Chain S LS

   A Ve rs i o n 1 “ T h e s e q u e n ce of ste ps re s u l t i n g i n t h e c reat i o n of a n a r t i fa ct ”

9. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 A QHFHGIHGCPBEHDD ‚HCƒFuBaqHCCƒiFg‰ggrdB†cyYtpebXxW€…UvfTvQ„R`RVtpebhˆ‡

10. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 9 Recap: Codecov Incident

11. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 10 Incident: event-stream https://www.npmjs.com/package/event-stream

12. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 11 Incident: event-stream https://github.com/dominictarr/event-stream/issues/73

13. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 12 Incident: event-stream https://github.com/dominictarr/event-stream/commit/e3163361fed01384c986b9b4c18feb1fc42b8285

14. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 13 Incident: event-stream https://github.com/dominictarr/event-stream/issues/115

15. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ %6 98@532178)(&$'#4"!0 BA qdfaVXecURcp`QXiVfacpTIIGWcHdVUS pXaIYbVeaFcHGVeeUPhVXU`RcbWcpDpgcQfVEai`fC dXXIeƒxxeGeVuFa„xeIahx„yusxXdfaVXe

16. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA SRQHFGPEGGDFCI VeDbbRcFDGRWUPf`PTDGXb XGG‡bw……feW†Q`WGDCvH…‡WbG…XWvHfQHr‚bHFtQRG`‚RUFRuHUG‚HU…

17. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ %6 98@532178)(&$'#4"!0 BA YcVa`TQRXIRRUQWHXFP`SbEPXF`UcHDU`TcRXCTDTcVTcQaTG fuUHHasQURaScXvpXdURPH

18. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA dgaXeVSTcRTTYSbQcTPeUfGPcd`FEXSXTDHFYWfVcCVFVgaVgSXVI pEYQQXwSYTXUgc€tchYTPQ pqVSYFjc’QVSSY`F˜x˜˜€•cu”nie–“‰mˆot†pdDpCsƒ‘yƒ‡ie–“™wv

19. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ  72D@09!03C#2A313)5'B %)C62$59"D3C6( @4C&"!)C638(D!54

20. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA QFWTSRPSGVIFUGEGDHC phfTPcV bGcHFWC p‚c‚€w tcFCsCHGEC ‡Gcˆ

    Q…C tDHGW’WPCGC

21. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA IQPHRGHQFEDC t„€qHFqHRx‚ix€pxhHtƒsgyie„HtwddbfHc‚ipxHt„€wepgf a‚„H`„X„bƒdY„xgHƒsH€ƒYY„e€pibHƒsgyie„Hƒsg„xH bi€WHgeixdie„x€fVHwU€p„xgHsƒ€wHƒxHg‚„HiTpbpgfHƒsHg‚„Hƒsgyie„HgƒHe„pgHiggi€WVHix`Hi`„Swig„H€ƒxgeƒbHgƒHde„X„xgH giYd„epxhHTfHYibp€pƒwHi€gƒe ntoywÈwuhmÄÉjÂÈÂÉetmwhÈwfdjÉw™wfwmt—–”wmÀ•wÀÉÄÈ”ÄÉt—

    ÉÉw™wfwmt—–”wmÀ•wÀÉkÈtdėÄÉjÉÆwmÂm•ÄÉÈumÄÉÄut—ÂhÀuÉÄÀÈ ywmwÄÈtÆmwÈÈÄÀ’ÀwwfÉĕƗw•wÀÉ•mwmĒmhÈtÀfÆmwfÄuÉtd—w•wutÀÄȕÈÂm wÀÈhmÄÀ’ÉtÉÆmfhuÉÈÂhÀuÉÄÀÈwuhmw—j˜tÀftÈÄÀÉwÀfwfywÈwuhmÄÉjtÀfÄÀÉw’mÄÉj‘umÄÉÄut—ÈÂÉetmw‰ÈÂÉetmw ÉtÉÆwmÂm•ÈÂhÀuÉÄÀÈumÄÉÄut—ÉÉmhÈÉnÈhutÈtˆmfÄÀ’mmw‡hÄmÄÀ’w—w”tÉwfÈjÈÉw•ÆmĔėw’wÈmfÄmwuÉtuuwÈÈÉ ÀwÉem†ÄÀ’tÀfu•ÆhÉÄÀ’mwÈhmuwÈoÄÈtÆtmÉÄuh—tmuÀuwmÀ…uumfÄÀ’—j˜Éw™wfwmt—–”wmÀ•wÀÉ•hÈÉÉt†wtuÉÄÀÉ mtÆÄf—jĕÆm”wÉwÈwuhmÄÉjtÀfÄÀÉw’mÄÉjÂÉwÈÂÉetmwÈhÆƗjutÄÀ˜eÄÉtÆmÄmÄÉjÀtffmwÈÈÄÀ’umÄÉÄut—ÈÂÉetmw

22. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 21 #1: EO 14028 ― Tasks

23. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 22 #1: EO 14028 ― SP

    800-218 (NIST SSDF)   Prepare the Organization (PO) Related: preparation of people, processes, and tools   Protect the Software (PS) Rleated: artifact integrity   Produce Well-Secured Software (PW) Related: designing, writing, and testing of software   Respond to Vulnerabilities (RV) Related: everything after software releases

24. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 23 #1: EO 14028 ― SP

    800-218 (NIST SSDF) Quoted from SP 800-218 (NIST SSDF)

25. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 24 #2: サイバーセキュリティ2022

26. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 25 #3: Package Ecosystems ― Hardening

    of AuthN

27. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 26 #3: Package Ecosystems ― Changing

    Its Nature

28. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 27 #4: Sigstore

29. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 28 #5: Alpha-Omega Projects (OpenSSF)

30. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 28 #6: Allstar & Scorecard (OpenSSF)

31. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 29 #7: Assured Open Source Software

    Service (Google)

32. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ %6 98@532178)(&$'#4"!0 BA HEGFEDGC eGW`DFGUTSGaaGFR QcYaFcPTcYTIIb eGW`DFGU‚ y …ccvT‡`aqGYaDQDarTcgT€tfi

    y …ccvTDYaGfFDarTcgT€tfU —`SPDUqGU fGPDEGFU fG€GYvUTCqDPGTFGW`DFDYf‚ y …ccvT‡`aqGYaDQDarTcgT€tfi y …ccvTDYaGfFDarTcgT€tfU I`€€cFaq ~DvGvTnP€q‡wHGf‡T—FclGQaUt I`€€cFaq ~DvGvTnPPUa‡Ft ŠcFtUTŠDaq ŠqcT —`SPDUqGU ŠqcT fGPDEGFU ŠqcT fGEGPc€ ‹TH€U H€GYII¡ ‹TIGQ`FDarT ¦GYvcFU —`SPD± IGQacFq ‹TªUGFU

33. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA GTWRUVPIQRUVPIRTVWHSFRERDWQC `Y sHiSpfR TYfIWba sPf„Pƒ€ wfWavaIYta

    Yf‘ Uˆa wdIYb•bpaYa

34. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 31 No Silver Bullet (Recap: #seccamp2022b4)

35. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 32 No Silver Bullet. Back to

    the Basics! 1 Identify your assets. 2 Know threats and risks. 3 Reduce risks.

36. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 33 Least Privilege and Short-lived Credentials

    (Recap: #seccamp2022b4)

37. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 34 Minimization of Dependencies  

         Adding dependencies accelerates “dependency hell”! yarn add foo

38. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 35 Minimization of Dependencies yarn add

    foo        Adding dependencies accelerates “dependency hell” Take a step back before `yarn add ...` to minimize risks.

39. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ  $&'%#"!' #& R SC'#%EPGPD9CHP1#"EPR S& &SP5P4E% A9' #&P@#%PR!22)HP1B9

    &P$&'ES% 'H

40. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA WTIUTRIQSPHSWGEPRGESDPTIFIGCV tIfiRUIVSbICCIUa `PGCUPYSPGSXXq tIfiRUIV‘ ˆ ”PP…S–iC€IGCR`RCSPHS‰ƒEx

    ˆ ”PP…SRGCIEURCSPHS‰ƒEV jibYRV€IV oIYRTIUV oI‰IG…VSQ€RYISUIfiRURGE‘ ˆ ”PP…S–iC€IGCR`RCSPHS‰ƒEx ˆ ”PP…SRGCIEURCSPHS‰ƒEV Xi‰‰PUCz ‡RISwY‰€–€WFIE–SjUPuI`CV} Xi‰‰PUCz ‡RISwYYVC–U} “PUƒVS“RC€ “€PS jibYRV€IV “€PS oIYRTIUV “€PS oITIYP‰™ ”SW‰V W‰IGXXª ”SXI`iURCS ¯IG…PUV jibYRº XI`CPUz ”S³VIUV

41. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ %6 98@532178)(&$'#4"!0 BA TWGSPQIHRITGHUWGIFEGIDSVHWVGC tGfigEGdIbGPPGEa `HSPEHWIHSIXXq tGfigEGd‘ ˆ ”HHCI–iP€GSPg`gPQIHRIUƒux

    ˆ ”HHCIgSPGuEgPQIHRIUƒud m€HI TibWgd€Gd m€HI uGWgVGEd m€HI uGVGWHU~ yI}Ud }UGSXX yIXG`iEgPQI ”GSCHEd TibWgŸ XG`PHE› yI˜dGEd

42. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 31 Recap: No Silver Bullet. Back

    to the Basis! (Recap: #seccamp2022b4)

43. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ  $"! # I P@F#HBGDGA6@EG(#4BGI P3 3PG2G1BH 8!6F #3G7#HGI))"EG(96

    3G%3FBPH FE

44. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ %6 98@532178)(&$'#4"!0 BA HCFEDG HCFEDGeaXG`YaVDUbDbUaXYTSDQEISYaPCSGTDSR

45. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ %6 98@532178)(&$'#4"!0 BA VTRQPIEUSDGPHGFC gD`FfPQTFPhGUUGYDfXW IEUSDGPDCCEFCW q uFvQDwSRQF €

    € QTRQPƒFCSvD†FC ™HPDfPRfP™ƒ’ d d DC lFjPgYfFv d m d m Gh ’vD`RQFPlFj m m ’E†UDSPlFj m m n ’E†UDSPlFj m m o ™HPQGrFfPhGv ™HPDfPRfP™ƒ’ d d z DXfRQEvF „ „ GhPRPSURDŽPDfPQTFPQGrFf

46. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 39 How Fulcio Works F3. Pass

    CSR + T F4. Fetch JWKS F5. Return JWKS F6. Verify T F7. Return a Cert F1. Request an ID token F2. Issue the token T Signer Fulcio IdP

47. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 40 How Fulcio Works F1. Request

    an ID token F2. Issue the token T Signer Fulcio IdP \ You’re Taro! / \ I’m Taro /

48. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ %6 98@532178)(&$'#4"!0 BA DSRPTGUEFSPQSHIC TfcPaYCCPbWXPVP` WFprqH TGUEFS vta w

    vhPYG˜ˆqr˜FEY˜qtPYCP`YHSPFrPvtacPDqHqhCP—PƒGgUFEPIq– PYrtP˜ˆqPqyFtqrEqPSxPIq—PƒSCCqCCFSrP‚ k

49. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA DSRPTGUEFSPQSHIC TefPTcbEYPaQXV T€fPvcbGHqPaQXV T‘fP„cHF‡‰P‚ VF•qcH TGUEFS

    e™d f excPESqkHtc™P‰SGxHcP‚pHSPpq™} ‰SGxHcPbYcPSRqcHPS‡PbYcPjGwUFEPIc‰i ‚

50. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ %6 98@532178)(&$'#4"!0 BA DSRPTGUEFSPQSHIC TefPb`XGHVPaPY`HX iFpV`H TGUEFS vtu v‚PFVPaVPvtu

    … … FC “`‘PˆRV`H … ” … ” S• uHFdaX`P“`‘ ” ” uGoUFEP“`‘ ” ” Y`HXFzEaX` } }

51. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 44 <Your Favorite IdP> with Fulcio

    e.g. oauth2.sigstore.dev F3. Pass CSR + T F4. Fetch JWKS F5. Return JWKS F6. Verify T F7. Return a Cert F1. Request an ID token F2. Issue the token T You Fulcio IdP

52. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ %6 98@532178)(&$'#4"!0 BA FVUQGXWTRUVIHSWEVUPWDGCRVI DifWdbSSWe`aWYWc D€fWDxURPWvrs` D•fWaxUG’HWvrs` DjfW™x’VfhWc DufWaxUG’HWbWex’U

    DfWaxƒGxSUWbHWx†WUI€xH D‘fWxSSGxWUPxWUI€xHWc rI’€˜IE DGCRVI FQŸ x¡d

53. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 46 Exercise Play with Fulcio

54. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ  #" ! H4I9E!"FCF@59DF'3"FH4I242IF1F0"!47&5E42F6!FH)((%DF'8542F$2E"I!4ED

55. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 50 Rekor Rekor: Immutable and Tamper-Resistant

    Metadata Ledger

56. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA TSRPIQEHFGIDFEC hq`EgIPSEIiFaaFYqgXIqgWfPCV tiGFxIyfasqFr „ ˆEGPqsRPE “

    “ PSRPI–ECsGq™EC pDIqgIRgIp–i q q qC yEwItYgEG q z q z Fi iGq`RPEIyEw z z if™aqsIyEw z z †††IRg–IPSEgICPFGECIPSEIqgWfPCIPFIGEsFG–V pDIqgIRgIp–i q q XEgEGRPE– qXgRPfGE ” ” Fi QECFfGsE • • – qXgRPfGE ” ” Fi QECFfGsE • • ™w iGq`RPEIyEw z z QEHFGI`EGqECV – if™aqsIyEw z z qg ˆEGPqsRPE “ “ `EGqEC qXgRPfGE ” ” Fi QECFfGsE • • CfssECCifaaw „ ˆEGPqsRPE “ “ qCIaEXqPqxRPE

57. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ %6 98@532178)(&$'#4"!0 BA WVUGSPGTVRHQGEFDIC ScGbaG`aGSYX f f bQGtpu`hGPV „t‚GyUatR

    f … f … V† XRb‘`PtG„t‚ … … Xufhb™G„t‚ … … b† otRPbq™`Pt t t bQGhtwbPbv`Pt otRPbq™`Pt t t bQGhtwbPbv`Pt ScGbaG`aGSYX f f bQGtpu`hGPV „t‚GyUatR f … f … V† XRb‘`PtG„t‚ … … Xufhb™G„t‚ … … RVvG`GYtqabPbVaGV†G`G™tRPbq™`PtGtRt~ ¢†PtRG™tHVRG‘tRbqtQŸGPtG†VhhVUbawGVhYQ~ Wta™t~

58. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ %6 98@532178)(&$'#4"!0 BA WVUFSIFTVQGPFERDHC `xIrQFhrGVQqPFirQcwadIcVpyFIfrFxVggVUcpYFfVgXP€ Wrpar€ —frFxVggVUcpYFfVgXPFcpFYrprQdg€ kifgcaF˜rg l

    l cp prQIcwadIr u u irQcwrP zcYpdIiQr   Vx hrPViQar € € PiaarPPxiggg ˜rgFƒUprQ ‰ l ‰ l Vx kQcidIrF˜rg l l kifgcaF˜rg l l “iPIFfrFUfVFYrprQdIrX zcYpdIiQr   Vx hrPViQar € € ˜rgFƒUprQ ‰ l ‰ l Vx kQcidIrF˜rg l l kifgcaF˜rg l l “iPIFfrFUfVFYrprQdIrX zcYpdIiQr   Vx hrPViQar € € cx kifgcaF˜rg l l adpFirQcxg zcYpdIiQr  

59. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 54 How It Works (3/3) From

    “How It Works (1/3)”: From “How It Works (2/3)”: Hence: ID in an IdP   is equal to Key Owner     of Private Key   Public Key   Key Owner     of Private Key   Public Key   must be who generated Signature   of Resource   ID in an IdP   generated Signature   of Resource  

60. © 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 55 Exercise Play with Rekor

61. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ %6 98@532178)(&$'#4"!0 BA SYVTRQIPUTWIHFEVDXIGXYC pDcYiIWUYIqXEEXbDiaQ HFEVDXIDCCFYCQ wYxWDyVTWY ‚ ‚

    WUTWI…YCVxDˆYC eGIDiITiIe…” f f DC nYlIibiYx f o f o Xq ”xDcTWYInYl o o ”FˆEDVInYl o o p ”FˆEDVInYl o o q eGIWXtYiIqXx eGIDiITiIe…” f f | DaiTWFxY † † XqITIVETDIDiIWUYIWXtYi

62. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA QWTRPIGHSRUGQWFVEGDVWC qtcWpGUSWGrVddVbtpaGtpPiUCI wrEVG‚idTtVu ‡ ‘WEUt“TRUW –

    – USRUG™WCTEtfWC sDGtpGRpGs™l t t tC |WzGwbpWE t } t } Vr lEtcRUWG|Wz } } lifdtTG|Wz } } ‰‰‰GRp™GUSWpGCUVEWCGUSWGtpPiUCGUVGEWTVE™I sDGtpGRpGs™l t t aWpWERUW™ ’tapRUiEW — — Vr QWCViETW ˜ ˜ ™ ’tapRUiEW — — Vr QWCViETW ˜ ˜ fz lEtcRUWG|Wz } } QWFVEGcWEt“WCI ™ lifdtTG|Wz } } tp ‘WEUt“TRUW – – cWEt“WC ’tapRUiEW — — Vr QWCViETW ˜ ˜ CiTTWCCriddz ‡ ‘WEUt“TRUW – – tCGdWatUtRUW

63. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ %6 98@532178)(&$'#4"!0 BA gDSQd`VfeTXdRdPWcXHdFUSbfWEdIaCGY h xVbfTediWt y y xHTƒSQWdiWt

    y y  d•dQXcWUd‘XH d•dTUdSUddfx m m n PWEXVHeW o o {VwwXEWdtXVdDSƒWv `VfeTXdRdPWcXHdcWWwEv | €WHQT‚eSQW … … ‰TQD xVbfTediWt y y QDSQdfWEeHTbWE d•dTUdSUddfx m m TE iWtdŒ‰UWH m y m y X‘ xHTƒSQWdiWt y y xVbfTediWt y y ’ {T˜USQVHW œ œ X‘ PWEXVHeW o o bt xHTƒSQWdiWt y y «XdWUSbfWdVEdQXdHWeXHfv | d•dTUdSUddfx m m ˜WUWHSQWf {T˜USQVHW œ œ X‘ PWEXVHeW o o

64. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ %6 98@532178)(&$'#4"!0 BA gETRdaWfeUYdSdQXcYIdGVTbfXFdPDCH` h xWbfUediXt y y xIUƒTRXdiXt

    y y  d•dRYcXVd‘YI d•dUVdTVddfx m m n QXFYWIeX o o {WwwYFXdtYWdETƒXv aWfeUYdSdQXcYIdcXXwFv | €XIRU‚eTRX … … ‰URE xWbfUediXt y y RETRdfXFeIUbXF d•dUVdTVddfx m m UF iXtdŒ‰VXI m y m y Y‘ xIUƒTRXdiXt y y xWbfUediXt y y ’ {U˜VTRWIX œ œ Y‘ QXFYWIeX o o bt xIUƒTRXdiXt y y | d•dUVdTVddfx m m ˜XVXITRXf {U˜VTRWIX œ œ Y‘ QXFYWIeX o o ±d|dIXFYWIeXdFU˜VTRWIXdfUVcFd‰UREdTVdUfXVRURt¨dTFd‰XffdTFdTdcXt²

65. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ %6 98@532178)(&$'#4"!0 BA fDSQc`VedTXcRcPWbXHcFUSaeWEcIGCGY g wVaeTdchWs x x wHT‚SQWchWs

    x x ‰ ™”cQXbWUcXH ™”cTUcSUc™ew l l m PWEXVHdW n n c~XceXUwWHcUWWecQXcbWWrcScrHT‚SQWcbWscXHcSceXUwz `VedTXcRcPWbXHcbWWrEƒ ‘ •WHQT—dSQW š š žTQD wVaeTdchWs x x QDSQceWEdHTaWE ™”cTUcSUc™ew l l TE hWsc¡žUWH l x l x X wHT‚SQWchWs x x wVaeTdchWs x x § ¬TwUSQVHW ± ± X PWEXVHdW n n as wHT‚SQWchWs x x ÀXcWUSaeWcVEcQXcHWdXHeƒ ‘ ™”cTUcSUc™ew l l wWUWHSQWe ¬TwUSQVHW ± ± X PWEXVHdW n n

66. © 2022 https://shift-js.info 68 Wrapping Up (B5)

67. &0'Ç0%)É2!$#( %ÈÆ01ÅÄ Ã&Â"ÁÀ u@qƒheewE‡yt…‰ergdc)0&0XWUvT„'RP$ˆÃGi É2!$#9†ÁÀ7Ã6ˆ1543ÁV —d˜–6•”Æ’ Ž€}‘tw†Œt‰ƒqxrw† Œt~…p{u~‚†ˆ‡„o‹mzvy Š|yksj†qtihgfnel —ƒ˜™š•heeše‡y–

    ËÇ»µ}‹¹¸Ä·´º‰pƒqxr¨ °À§Š¶}¦£¬¢~…p¨°ÂÀ«¡z Ê Ÿ¬¢„¹¥„mzvyŠw ÌÌÌ ÕàÐãâäßÝÜÛáâÙØÖÔ×ÓÞÒÑÏÎÚÍ õôñóññôðîîëíèììíðéçîæêíïéåçò