$30 off During Our Annual Pro Sale. View Details »

ソフトウェアサプライチェーンのこれから / Securing Software Supply Chain

ソフトウェアサプライチェーンのこれから / Securing Software Supply Chain

セキュリティ・キャンプ全国大会 2022 で使用した資料です(もう一年前のものですが、こっそりアップロードします…)

---

Title: ソフトウェアサプライチェーンのこれから / Securing Software Supply Chain
Description:

現代のソフトウェアの開発・運用プロセスは多くの人・組織・ソフトウェア資産に立脚するようになってきています。多くの便利な OSS パッケージが 1, 2 回のコマンド実行で手に入り、1 つの YAML ファイルがテストやデプロイの継続的実行を可能にし、便利なソフトウェアを動かすための環境は世界の誰かがコンテナイメージとして公開してくれている、そんな体験をする機会が多くなってきたのではないでしょうか。
しかし、この喜ばしい時代の流れの中で、「一つのソフトウェアを作って届けるという工程に関与する人の数」が爆発的に増加してきているのも事実です。この流れが、ソフトウェアサプライチェーンのセキュリティへの関心を急激に高めています。本講義では専門講義「モダンな開発環境のセキュリティおよびCI/CDパイプラインのセキュア化」で取り扱う内容と連携しながら、ソフトウェアサプライチェーンセキュリティのこれからについて検討します。

Takashi Yoneuchi

September 24, 2023
Tweet

More Decks by Takashi Yoneuchi

Other Decks in Programming

Transcript

  1. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    20@731$6983('#"%45&)!
    bhfPcaeGYYcVWTRIHYX
    EQcdFcgUeDYCBSGeeAS`
    #"%45&„"†'$ƒ’wfs‰sst'69'c€Wq#"%45&ˆ6i

    View Slide

  2. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 1
    $ whoami
    米内 貴志(よねうち たかし
    取締役 CT
    日本語ラップと綺麗な型が好

    『Webブラウザセキュリティ
    『詳解セキュリティコンテスト』
    株式会社 Flatt Security

    View Slide

  3. &0'Ç0%)É2!$#(
    %ÈÆ01ÅÄ Ã&Â"ÁÀ
    u@qƒheewE‡yt…‰ergdc)0&0XWUvT„'RP$ˆÃGi
    É2!$#9†ÁÀ7Ã6ˆ1543ÁV
    1ÅPdˆ˜™f•#’4e
    É2!$ml
    §x«zœ¡“¨¢Œš˜—”ª§’Ž‹Œ¬x¢Š
    ¦ˆ¨ˆ‰ zƒ‡†‘…„™Ÿ‚Œ­¥•~|Š
    {y…}…›€wvž–¤©uІ£…t•
    1ÅPdˆ˜™f•#’4e
    æãïâéÇ٢ˈÔç„Í›¡€wÕà‚ÒÌʽ
    Èåð×ÓÑÆÄСš˜ŠëÁŒÏ¾í¼‡Å»„Öº
    ¸·¶µ¡§x«zƒÅ¼¬xª¿ê±ˆ°‡•
    ò
    ò
    1ÅÄ Ã’4e
    ShishowCloudwÇシショ«§x«zÔç„PolicywaswCodå¡取
    ž組みŠÏ現…„ソê¿«ェアサ¬x チェˆ¢¡安͊
    守Ì×ÓÑÆÄЬxª¿ê±ˆ°‡•
    2
    ソフトウェアサプライチェーンセキュリティのこれから © 2022 https://shift-js.info

    View Slide

  4. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 A
    SRQIFPGDPEGCHFCHB
    T CHpGwvrHsGCPÉiÂÉehdticÆÆa`YhÄÀitUcdÄÉ`
    ƒ mGpIwnswFPiGqFdFCHBhÀiÂÉehdticÆÆa`YhÄÀitUcdÄÉ`
    v ‚s•BHGpF‡Y”tiđÀÄÀ‘ˆtdÄ~UhÉÄÀÂdicÆÆa`YhÄÀwÀÉt‘dÄÉ`
    — ¹¨cdÀt`©¬cÄa”h¢Fps¶RQIFPŸPSpRrFRQIFiÂÉehdticÆÆa`YhÄÀ
    º SÔFPÍvHvpFPÂiÂÉehdticÆÆa`YhÄÀitUcdÄÉ`

    View Slide

  5. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 A
    FEDBC
    iUfgUcdbDYUVa`DXbgXbdSUa`XEBEbgUCdEXdCEIScDHUdCWGGBRda`DgXdCUaWHgSQ
    UfUXdSEEdUDHBRdSEdDqEGS‚

    View Slide

  6. © 2022 https://shift-js.info 5
    Software Supply Chain Security

    View Slide

  7. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 6
    Supply Chain

    , each of which is an acquirer
    that begins with the sourcing of products and services and
    extends through the product and service life cycle”
    the linked set of resources and processes between and among
    multiple levels of an enterprise
    NIST SP800.161 Revision 1

    View Slide

  8. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 7
    Software Supply Chain
    S LS A Ve rs i o n 1
    “ T h e s e q u e n ce of ste ps re s u l t i n g i n t h e c reat i o n of a n a r t i fa ct ”

    View Slide

  9. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 A
    QHFHGIHGCPBEHDD
    ‚HCƒFuBaqHCCƒiFg‰ggrdB†cyYtpebXxW€…UvfTvQ„R`RVtpebhˆ‡

    View Slide

  10. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 9
    Recap: Codecov Incident

    View Slide

  11. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 10
    Incident: event-stream
    https://www.npmjs.com/package/event-stream

    View Slide

  12. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 11
    Incident: event-stream
    https://github.com/dominictarr/event-stream/issues/73

    View Slide

  13. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 12
    Incident: event-stream
    https://github.com/dominictarr/event-stream/commit/e3163361fed01384c986b9b4c18feb1fc42b8285

    View Slide

  14. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 13
    Incident: event-stream
    https://github.com/dominictarr/event-stream/issues/115

    View Slide

  15. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    qdfaVXecURcp`QXiVfacpTIIGWcHdVUS
    pXaIYbVeaFcHGVeeUPhVXU`RcbWcpDpgcQfVEai`fC
    dXXIeƒxxeGeVuFa„xeIahx„yusxXdfaVXe

    View Slide

  16. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    SRQHFGPEGGDFCI
    VeDbbRcFDGRWUPf`PTDGXb
    XGG‡bw……feW†Q`WGDCvH…‡WbG…XWvHfQHr‚bHFtQRG`‚RUFRuHUG‚HU…

    View Slide

  17. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    YcVa`TQRXIRRUQWHXFP`SbEPXF`UcHDU`TcRXCTDTcVTcQaTG
    fuUHHasQURaScXvpXdURPH

    View Slide

  18. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    dgaXeVSTcRTTYSbQcTPeUfGPcd`FEXSXTDHFYWfVcCVFVgaVgSXVI
    pEYQQXwSYTXUgc€tchYTPQ
    pqVSYFjc’QVSSY`F˜x˜˜€•cu”nie–“‰mˆot†pdDpCsƒ‘yƒ‡ie–“™wv

    View Slide

  19. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    72D@09!03C#2A313)5'B
    %)C62$59"D3C6( @4C&"!)C638(D!54

    View Slide

  20. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    QFWTSRPSGVIFUGEGDHC
    phfTPcV
    bGcHFWC
    p‚c‚€w
    tcFCsCHGEC
    ‡Gcˆ
    Q…C
    tDHGW’WPCGC

    View Slide

  21. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    IQPHRGHQFEDC
    t„€qHFqHRx‚ix€pxhHtƒsgyie„HtwddbfHc‚ipxHt„€wepgf
    a‚„H`„X„bƒdY„xgHƒsH€ƒYY„e€pibHƒsgyie„Hƒsg„xH
    bi€WHgeixdie„x€fVHwU€p„xgHsƒ€wHƒxHg‚„HiTpbpgfHƒsHg‚„Hƒsgyie„HgƒHe„pgHiggi€WVHix`Hi`„Swig„H€ƒxgeƒbHgƒHde„X„xgH
    giYd„epxhHTfHYibp€pƒwHi€gƒe
    ntoywÈwuhmÄÉjÂÈÂÉetmwhÈwfdjÉw™wfwmt—–”wmÀ•wÀÉÄȔÄÉt—
    ÉÉw™wfwmt—–”wmÀ•wÀÉkÈtdėÄÉjÉÆwmÂm•ÄÉÈumÄÉÄut—ÂhÀuÉÄÀÈ
    ywmwÄÈtÆmwÈÈÄÀ’ÀwwfÉĕƗw•wÀɕmwmĒmhÈtÀfÆmwfÄuÉtd—w•wutÀÄȕÈÂm
    wÀÈhmÄÀ’ÉtÉÆmfhuÉÈÂhÀuÉÄÀÈwuhmw—j˜tÀftÈÄÀÉwÀfwfywÈwuhmÄÉjtÀfÄÀÉw’mÄÉj‘umÄÉÄut—ÈÂÉetmw‰ÈÂÉetmw
    ÉtÉÆwmÂm•ÈÂhÀuÉÄÀÈumÄÉÄut—ÉÉmhÈÉnÈhutÈtˆmfÄÀ’mmw‡hÄmÄÀ’w—w”tÉwfÈjÈÉw•ÆmĔėw’wÈmfÄmwuÉtuuwÈÈÉ
    ÀwÉem†ÄÀ’tÀfu•ÆhÉÄÀ’mwÈhmuwÈoÄÈtÆtmÉÄuh—tmuÀuwmÀ…uumfÄÀ’—j˜Éw™wfwmt—–”wmÀ•wÀɕhÈÉÉt†wtuÉÄÀÉ
    mtÆÄf—jĕÆm”wÉwÈwuhmÄÉjtÀfÄÀÉw’mÄÉjÂÉwÈÂÉetmwÈhÆÆ—jutÄÀ˜eÄÉtÆmÄmÄÉjÀtffmwÈÈÄÀ’umÄÉÄut—ÈÂÉetmw

    View Slide

  22. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 21
    #1: EO 14028 ― Tasks

    View Slide

  23. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 22
    #1: EO 14028 ― SP 800-218 (NIST SSDF)

     Prepare the Organization (PO)
    Related: preparation of people, processes, and tools

     Protect the Software (PS)
    Rleated: artifact integrity

     Produce Well-Secured Software (PW)
    Related: designing, writing, and testing of software

     Respond to Vulnerabilities (RV)
    Related: everything after software releases

    View Slide

  24. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 23
    #1: EO 14028 ― SP 800-218 (NIST SSDF)
    Quoted from SP 800-218 (NIST SSDF)

    View Slide

  25. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 24
    #2: サイバーセキュリティ2022

    View Slide

  26. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 25
    #3: Package Ecosystems ― Hardening of AuthN

    View Slide

  27. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 26
    #3: Package Ecosystems ― Changing Its Nature

    View Slide

  28. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 27
    #4: Sigstore

    View Slide

  29. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 28
    #5: Alpha-Omega Projects (OpenSSF)

    View Slide

  30. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 28
    #6: Allstar & Scorecard (OpenSSF)

    View Slide

  31. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 29
    #7: Assured Open Source Software Service (Google)

    View Slide

  32. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    HEGFEDGC
    eGW`DFGUTSGaaGFR
    QcYaFcPTcYTIIb
    eGW`DFGU‚
    y …ccvT‡`aqGYaDQDarTcgT€tfi
    y …ccvTDYaGfFDarTcgT€tfU
    —`SPDUqGU fGPDEGFU
    fG€GYvUTCqDPGTFGW`DFDYf‚
    y …ccvT‡`aqGYaDQDarTcgT€tfi
    y …ccvTDYaGfFDarTcgT€tfU
    I`€€cFaq
    ~DvGvTnP€q‡wHGf‡T—FclGQaUt
    I`€€cFaq
    ~DvGvTnPPUa‡Ft
    ŠcFtUTŠDaq
    ŠqcT
    —`SPDUqGU
    ŠqcT
    fGPDEGFU
    ŠqcT
    fGEGPc€
    ‹TH€U
    H€GYII¡
    ‹TIGQ`FDarT
    ¦GYvcFU
    —`SPD±
    IGQacFq
    ‹TªUGFU

    View Slide

  33. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    GTWRUVPIQRUVPIRTVWHSFRERDWQC
    `Y
    sHiSpfR
    TYfIWba
    sPf„Pƒ€
    wfWavaIYta
    Yf‘
    Uˆa
    wdIYb•bpaYa

    View Slide

  34. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 31
    No Silver Bullet
    (Recap: #seccamp2022b4)

    View Slide

  35. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 32
    No Silver Bullet. Back to the Basics!
    1 Identify your assets.
    2 Know threats and risks.
    3 Reduce risks.

    View Slide

  36. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 33
    Least Privilege and Short-lived Credentials
    (Recap: #seccamp2022b4)

    View Slide

  37. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 34
    Minimization of Dependencies







    Adding dependencies accelerates “dependency hell”!
    yarn add foo

    View Slide

  38. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 35
    Minimization of Dependencies
    yarn add foo







    Adding dependencies accelerates “dependency hell”
    Take a step back before `yarn add ...` to minimize risks.

    View Slide

  39. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    $&'%#"!' #&
    R SC'#%EPGPD9CHP1#"EPR S& &SP5P4E% A9' #&P@#%PR!22)HP1B9 &P$&'ES% 'H

    View Slide

  40. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    WTIUTRIQSPHSWGEPRGESDPTIFIGCV
    tIfiRUIVSbICCIUa
    `PGCUPYSPGSXXq
    tIfiRUIV‘
    ˆ ”PP…S–iC€IGCR`RCSPHS‰ƒEx
    ˆ ”PP…SRGCIEURCSPHS‰ƒEV
    jibYRV€IV oIYRTIUV
    oI‰IG…VSQ€RYISUIfiRURGE‘
    ˆ ”PP…S–iC€IGCR`RCSPHS‰ƒEx
    ˆ ”PP…SRGCIEURCSPHS‰ƒEV
    Xi‰‰PUCz
    ‡RISwY‰€–€WFIE–SjUPuI`CV}
    Xi‰‰PUCz
    ‡RISwYYVC–U}
    “PUƒVS“RC€
    “€PS
    jibYRV€IV
    “€PS
    oIYRTIUV
    “€PS
    oITIYP‰™
    ”SW‰V
    W‰IGXXª
    ”SXI`iURCS
    ¯IG…PUV
    jibYRº
    XI`CPUz
    ”S³VIUV

    View Slide

  41. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    TWGSPQIHRITGHUWGIFEGIDSVHWVGC
    tGfigEGdIbGPPGEa
    `HSPEHWIHSIXXq
    tGfigEGd‘
    ˆ ”HHCI–iP€GSPg`gPQIHRIUƒux
    ˆ ”HHCIgSPGuEgPQIHRIUƒud
    m€HI
    TibWgd€Gd
    m€HI
    uGWgVGEd
    m€HI
    uGVGWHU~
    yI}Ud
    }UGSXX
    yIXG`iEgPQI
    ”GSCHEd
    TibWgŸ
    XG`PHE›
    yI˜dGEd

    View Slide

  42. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 31
    Recap: No Silver Bullet. Back to the Basis!
    (Recap: #seccamp2022b4)

    View Slide

  43. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    $"! #
    I P@F#HBGDGA6@EG(#4BGI P3 3PG2G1BH 8!6F #3G7#HGI))"EG(96 3G%3FBPH FE

    View Slide

  44. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    HCFEDG
    HCFEDGeaXG`YaVDUbDbUaXYTSDQEISYaPCSGTDSR

    View Slide

  45. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    VTRQPIEUSDGPHGFC
    gD`FfPQTFPhGUUGYDfXW
    IEUSDGPDCCEFCW
    q
    uFvQDwSRQF
    €
    € QTRQPƒFCSvD†FC
    ™HPDfPRfP™ƒ’
    d
    d DC
    lFjPgYfFv
    d
    m
    d
    m Gh
    ’vD`RQFPlFj
    m
    m
    ’E†UDSPlFj
    m
    m
    n
    ’E†UDSPlFj
    m
    m o ™HPQGrFfPhGv
    ™HPDfPRfP™ƒ’
    d
    d z
    DXfRQEvF
    „
    „ GhPRPSURDŽPDfPQTFPQGrFf

    View Slide

  46. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 39
    How Fulcio Works
    F3. Pass CSR + T F4. Fetch JWKS
    F5. Return JWKS
    F6. Verify T
    F7. Return a Cert
    F1. Request an ID token
    F2. Issue the token T
    Signer
    Fulcio
    IdP

    View Slide

  47. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 40
    How Fulcio Works
    F1. Request an ID token
    F2. Issue the token T
    Signer
    Fulcio
    IdP
    \ You’re Taro! /
    \ I’m Taro /

    View Slide

  48. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    DSRPTGUEFSPQSHIC
    TfcPaYCCPbWXPVP`
    WFprqH
    TGUEFS
    vta
    w
    vhPYG˜ˆqr˜FEY˜qtPYCP`YHSPFrPvtacPDqHqhCP—PƒGgUFEPIq–
    PYrtP˜ˆqPqyFtqrEqPSxPIq—PƒSCCqCCFSrP‚
    k

    View Slide

  49. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    DSRPTGUEFSPQSHIC
    TefPTcbEYPaQXV
    T€fPvcbGHqPaQXV
    T‘fP„cHF‡‰P‚
    VF•qcH
    TGUEFS
    e™d
    f
    excPESqkHtc™P‰SGxHcP‚pHSPpq™}
    ‰SGxHcPbYcPSRqcHPS‡PbYcPjGwUFEPIc‰i
    ‚

    View Slide

  50. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    DSRPTGUEFSPQSHIC
    TefPb`XGHVPaPY`HX
    iFpV`H
    TGUEFS
    vtu
    v‚PFVPaVPvtu
    …
    … FC
    “`‘PˆRV`H
    …
    ”
    …
    ” S•
    uHFdaX`P“`‘
    ”
    ”
    uGoUFEP“`‘
    ”
    ”
    Y`HXFzEaX`
    }
    }

    View Slide

  51. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 44
    with Fulcio
    e.g. oauth2.sigstore.dev
    F3. Pass CSR + T F4. Fetch JWKS
    F5. Return JWKS
    F6. Verify T
    F7. Return a Cert
    F1. Request an ID token
    F2. Issue the token T
    You
    Fulcio
    IdP

    View Slide

  52. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    FVUQGXWTRUVIHSWEVUPWDGCRVI
    DifWdbSSWe`aWYWc D€fWDxURPWvrs`
    D•fWaxUG’HWvrs`
    DjfW™x’VfhWc
    DufWaxUG’HWbWex’U
    DfWaxƒGxSUWbHWx†WUI€xH
    D‘fWxSSGxWUPxWUI€xHWc
    rI’€˜IE
    DGCRVI
    FQŸ
    x¡d

    View Slide

  53. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 46
    Exercise
    Play with Fulcio

    View Slide

  54. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    #" !
    H4I9E!"FCF@59DF'3"FH4I242IF1F0"!47&5E42F6!FH)((%DF'8542F$2E"I!4ED

    View Slide

  55. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 50
    Rekor
    Rekor: Immutable and Tamper-Resistant Metadata Ledger

    View Slide

  56. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    TSRPIQEHFGIDFEC
    hq`EgIPSEIiFaaFYqgXIqgWfPCV
    tiGFxIyfasqFr
    „
    ˆEGPqsRPE
    “
    “ PSRPI–ECsGq™EC
    pDIqgIRgIp–i
    q
    q qC
    yEwItYgEG
    q
    z
    q
    z Fi
    iGq`RPEIyEw
    z
    z
    if™aqsIyEw
    z
    z
    †††IRg–IPSEgICPFGECIPSEIqgWfPCIPFIGEsFG–V
    pDIqgIRgIp–i
    q
    q XEgEGRPE–
    qXgRPfGE
    ”
    ” Fi
    QECFfGsE
    •
    •
    –
    qXgRPfGE
    ”
    ” Fi
    QECFfGsE
    •
    • ™w
    iGq`RPEIyEw
    z
    z
    QEHFGI`EGqECV
    –
    if™aqsIyEw
    z
    z qg
    ˆEGPqsRPE
    “
    “ `EGqEC
    qXgRPfGE
    ”
    ” Fi
    QECFfGsE
    •
    • CfssECCifaaw
    „
    ˆEGPqsRPE
    “
    “ qCIaEXqPqxRPE

    View Slide

  57. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    WVUGSPGTVRHQGEFDIC
    ScGbaG`aGSYX
    f
    f bQGtpu`hGPV
    „t‚GyUatR
    f
    …
    f
    … V†
    XRb‘`PtG„t‚
    …
    …
    Xufhb™G„t‚
    …
    … b†
    otRPbq™`Pt
    t
    t bQGhtwbPbv`Pt
    otRPbq™`Pt
    t
    t bQGhtwbPbv`Pt
    ScGbaG`aGSYX
    f
    f bQGtpu`hGPV
    „t‚GyUatR
    f
    …
    f
    … V†
    XRb‘`PtG„t‚
    …
    …
    Xufhb™G„t‚
    …
    …
    RVvG`GYtqabPbVaGV†G`G™tRPbq™`PtGtRt~
    ¢†PtRG™tHVRG‘tRbqtQŸGPtG†VhhVUbawGVhYQ~
    Wta™t~

    View Slide

  58. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    WVUFSIFTVQGPFERDHC
    `xIrQFhrGVQqPFirQcwadIcVpyFIfrFxVggVUcpYFfVgXP€
    Wrpar€
    —frFxVggVUcpYFfVgXPFcpFYrprQdg€
    kifgcaF˜rg
    l
    l cp
    prQIcwadIr
    u
    u irQcwrP
    zcYpdIiQr
    
     Vx
    hrPViQar
    €
    € PiaarPPxiggg
    ˜rgFƒUprQ
    ‰
    l
    ‰
    l Vx
    kQcidIrF˜rg
    l
    l
    kifgcaF˜rg
    l
    l “iPIFfrFUfVFYrprQdIrX
    zcYpdIiQr
    
     Vx
    hrPViQar
    €
    €
    ˜rgFƒUprQ
    ‰
    l
    ‰
    l Vx
    kQcidIrF˜rg
    l
    l
    kifgcaF˜rg
    l
    l “iPIFfrFUfVFYrprQdIrX
    zcYpdIiQr
    
     Vx
    hrPViQar
    €
    € cx
    kifgcaF˜rg
    l
    l adpFirQcxg
    zcYpdIiQr
    
    

    View Slide

  59. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 54
    How It Works (3/3)
    From “How It Works (1/3)”:
    From “How It Works (2/3)”:
    Hence:
    ID in an IdP

     is equal to
    Key Owner



     of
    Private Key


    Public Key


    Key Owner



     of
    Private Key


    Public Key

     must be who generated
    Signature

     of
    Resource


    ID in an IdP

     generated
    Signature

     of
    Resource


    View Slide

  60. © 2022 https://shift-js.info
    ソフトウェアサプライチェーンセキュリティのこれから 55
    Exercise
    Play with Rekor

    View Slide

  61. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    SYVTRQIPUTWIHFEVDXIGXYC
    pDcYiIWUYIqXEEXbDiaQ
    HFEVDXIDCCFYCQ
    wYxWDyVTWY
    ‚
    ‚ WUTWI…YCVxDˆYC
    eGIDiITiIe…”
    f
    f DC
    nYlIibiYx
    f
    o
    f
    o Xq
    ”xDcTWYInYl
    o
    o
    ”FˆEDVInYl
    o
    o
    p
    ”FˆEDVInYl
    o
    o q eGIWXtYiIqXx
    eGIDiITiIe…”
    f
    f |
    DaiTWFxY
    †
    † XqITIVETDIDiIWUYIWXtYi

    View Slide

  62. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    QWTRPIGHSRUGQWFVEGDVWC
    qtcWpGUSWGrVddVbtpaGtpPiUCI
    wrEVG‚idTtVu
    ‡
    ‘WEUt“TRUW
    –
    – USRUG™WCTEtfWC
    sDGtpGRpGs™l
    t
    t tC
    |WzGwbpWE
    t
    }
    t
    } Vr
    lEtcRUWG|Wz
    }
    }
    lifdtTG|Wz
    }
    }
    ‰‰‰GRp™GUSWpGCUVEWCGUSWGtpPiUCGUVGEWTVE™I
    sDGtpGRpGs™l
    t
    t aWpWERUW™
    ’tapRUiEW
    —
    — Vr
    QWCViETW
    ˜
    ˜
    ™
    ’tapRUiEW
    —
    — Vr
    QWCViETW
    ˜
    ˜ fz
    lEtcRUWG|Wz
    }
    }
    QWFVEGcWEt“WCI
    ™
    lifdtTG|Wz
    }
    } tp
    ‘WEUt“TRUW
    –
    – cWEt“WC
    ’tapRUiEW
    —
    — Vr
    QWCViETW
    ˜
    ˜ CiTTWCCriddz
    ‡
    ‘WEUt“TRUW
    –
    – tCGdWatUtRUW

    View Slide

  63. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    gDSQd`VfeTXdRdPWcXHdFUSbfWEdIaCGY
    h
    xVbfTediWt
    y
    y
    xHTƒSQWdiWt
    y
    y  d•dQXcWUd‘XH
    d•dTUdSUddfx
    m
    m n
    PWEXVHeW
    o
    o
    {VwwXEWdtXVdDSƒWv
    `VfeTXdRdPWcXHdcWWwEv
    |
    €WHQT‚eSQW
    …
    … ‰TQD
    xVbfTediWt
    y
    y QDSQdfWEeHTbWE
    d•dTUdSUddfx
    m
    m TE
    iWtdŒ‰UWH
    m
    y
    m
    y X‘
    xHTƒSQWdiWt
    y
    y
    xVbfTediWt
    y
    y ’
    {T˜USQVHW
    œ
    œ X‘
    PWEXVHeW
    o
    o bt
    xHTƒSQWdiWt
    y
    y
    «XdWUSbfWdVEdQXdHWeXHfv
    |
    d•dTUdSUddfx
    m
    m ˜WUWHSQWf
    {T˜USQVHW
    œ
    œ X‘
    PWEXVHeW
    o
    o

    View Slide

  64. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    gETRdaWfeUYdSdQXcYIdGVTbfXFdPDCH`
    h
    xWbfUediXt
    y
    y
    xIUƒTRXdiXt
    y
    y  d•dRYcXVd‘YI
    d•dUVdTVddfx
    m
    m n
    QXFYWIeX
    o
    o
    {WwwYFXdtYWdETƒXv
    aWfeUYdSdQXcYIdcXXwFv
    |
    €XIRU‚eTRX
    …
    … ‰URE
    xWbfUediXt
    y
    y RETRdfXFeIUbXF
    d•dUVdTVddfx
    m
    m UF
    iXtdŒ‰VXI
    m
    y
    m
    y Y‘
    xIUƒTRXdiXt
    y
    y
    xWbfUediXt
    y
    y ’
    {U˜VTRWIX
    œ
    œ Y‘
    QXFYWIeX
    o
    o bt
    xIUƒTRXdiXt
    y
    y
    |
    d•dUVdTVddfx
    m
    m ˜XVXITRXf
    {U˜VTRWIX
    œ
    œ Y‘
    QXFYWIeX
    o
    o
    ±d|dIXFYWIeXdFU˜VTRWIXdfUVcFd‰UREdTVdUfXVRURt¨dTFd‰XffdTFdTdcXt²

    View Slide

  65. ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ
    %6 98@532178)(&$'#4"!0 BA
    fDSQc`VedTXcRcPWbXHcFUSaeWEcIGCGY
    g
    wVaeTdchWs
    x
    x
    wHT‚SQWchWs
    x
    x ‰ ™”cQXbWUcXH
    ™”cTUcSUc™ew
    l
    l m
    PWEXVHdW
    n
    n
    c~XceXUwWHcUWWecQXcbWWrcScrHT‚SQWcbWscXHcSceXUwz
    `VedTXcRcPWbXHcbWWrEƒ
    ‘
    •WHQT—dSQW
    š
    š žTQD
    wVaeTdchWs
    x
    x QDSQceWEdHTaWE
    ™”cTUcSUc™ew
    l
    l TE
    hWsc¡žUWH
    l
    x
    l
    x X
    wHT‚SQWchWs
    x
    x
    wVaeTdchWs
    x
    x §
    ¬TwUSQVHW
    ±
    ± X
    PWEXVHdW
    n
    n as
    wHT‚SQWchWs
    x
    x
    ÀXcWUSaeWcVEcQXcHWdXHeƒ
    ‘
    ™”cTUcSUc™ew
    l
    l wWUWHSQWe
    ¬TwUSQVHW
    ±
    ± X
    PWEXVHdW
    n
    n

    View Slide

  66. © 2022 https://shift-js.info 68
    Wrapping Up (B5)

    View Slide

  67. &0'Ç0%)É2!$#(
    %ÈÆ01ÅÄ Ã&Â"ÁÀ
    u@qƒheewE‡yt…‰ergdc)0&0XWUvT„'RP$ˆÃGi
    É2!$#9†ÁÀ7Ã6ˆ1543ÁV
    —d˜–6•”Æ’
    Ž€}‘tw†Œt‰ƒqxrw†
    Œt~…p{u~‚†ˆ‡„o‹mzvy
    Š|yksj†qtihgfnel
    —ƒ˜™š•heeše‡y–
    ËÇ»µ}‹¹¸Ä·´º‰pƒqxr¨
    °À§Š¶}¦£¬¢~…p¨°ÂÀ«¡z
    Ê Ÿ¬¢„¹¥„mzvyŠw
    ÌÌÌ
    ÕàÐãâäßÝÜÛáâÙØÖÔ×ÓÞÒÑÏÎÚÍ õôñóññôðîîëíèììíðéçîæêíïéåçò

    View Slide