2023.6.2 @ サイボウズ東京オフィス Welcome ! Open Source Security Meetup Tokyo

Agenda 17:30-17:50 プロジェクトの概況報告と米国政府関係者による対談サマリー（ LF 福安徳晃） 17:50-18:10 SBOM, SLSA, Woman & Non-Binary 関連トピック（日立製作所 山本穂奈美） 18:10-18:30 Mobilization Plan状況、Sigstore、バンクーバー紹介 他（サイバートラスト 池田 宗広） 18:30-19:30 懇親・雑談タイム 懇親・雑談タイムは現地参加のみの特典！

@Open Source Security Meetup June 2, 2023 Noriaki Fukuyasu イベントレポート OpenSSF Day Vancouver

このセッションの内容 1. Brian BehlendordによるOpening Remarks 2. 米国政府関係者の対談内容サマリー

Opening Remark & Project Status update by Brian Behlendorf

SLSA Announces 1.0 Stable Release https://openssf.org/press-release/2023/04/19/openssf-announces-slsa-version-1-0-release/ https://github.blog/2023-04-19-introducing-npm-package-provenance/

7 7 Microsoft and Google Re-Up Their Commitment Each is contributing $2.5M to A-O, on top of their similar 2022 contributions.

No content

No content

No content

Guiding Lights for 2023, 2024 and Beyond 1. Visualizing the OpenSSF Community 2. Driving Towards a Common Architecture For Secure Software Development 3. Updating and Re-Iterating the Mobilization Plan

● We will be hosting an OpenSSF Day EU! ○ Monday, September 18th ○ Bilbao, Spain ● Co-located with Open Source Summit Europe ● Stay tuned for the CFP & additional details soon OpenSSF Day Europe 12

Announcing the OpenSSF Security Awareness Survey https://www.research.net/r/HK8JVXP

セッションサマリー 米国政府サイバーセキュリティ担当者座談会

OpenSSF Brian Behlendorf Office of National Cyber Director Anjana Rajan CISA Jack Cable

米国政府サイバーセキュリティ担当者 コメントサマリー (1/3) ● サイバーセキュリティは、安全保障の観点からだけでなく、経済的発展や民主主義や人権保護など の観点からも非常に重要である ● OSSは米国の国益にとって非常にクリティカルであり (OSS is mission-critical for US national interests)、バイデン政権では「Open Souce Software Security Initiative (OSSSI)」（オーエスス リーアイと読む）という政策を立てた。 ● Memory Safe がとても重要。理由は２つ。１）すでに解決策がある、２）解決に向けた取り組みがすで に活発になっている。 ● OSS Security政策立案のためにホワイトハウスが考慮する点が２点ある。 a. OSSコミュニティは高度にDecentralized されているし、またコミュニティメンバーはどこか一つ の国だけに所属している訳ではない。従ってOSS Securityの政策は International viewが 必要 b. OSSの経済モデルがユニークである。ユーザ（ここでは政府？）はOSSを無料で使えるけど、そ のOSSのメンテナンスにはLaborが発生している。政府はどのようにOSSに対してInvest するか が課題。

米国政府サイバーセキュリティ担当者 コメントサマリー (2/3) ● 米国政府は世界最大のOSSユーザで、米国インフラはOSSの恩恵をうけている。米国政府はサイ バーセキュリティという側面では、OSSを規制するのではなく、コミュニティの一部となり協力していく。 そのために a. 0SS技術者の雇用 b. OSSのセキュリティに関して理解を深める c. OSPOの設置 ● 委託開発者を含めると相当数の技術者が米国政府でソフトウェア開発をしており（Microsoft、 Google 、Amazonの3社合計よりも多いと想像されている）、それらの大量の開発者を以下にレバ レッジしてOSS コミュニティにContribute backしていくかが課題。（20％の労働時間をOSS開発に利 用しても良いルールを作ることも視野に入れている） ● SBOM Toolingにファンドしている

米国政府サイバーセキュリティ担当者 コメントサマリー (3/3) ● 新しいサイバー戦略に関して：サイバー戦略では政府機関の外部とのパートナーシップに重きが置 かれ、特に開発者コミュニティとの連携が重要視されている。従って、サイバー戦略では随所にOSS コミュニティとの連携の重要性が指摘されている。 ● サイバーセキュリティのベストプラクティスをどのように「安価に」ロールアウトするか？（...とBrianが独 り言のように言及） ● 米国政府だけでなく、世界中の国とどのように手を携えてOSSセキュリティの課題に取り組んでいくべ きか？ a. OSS開発は一つの国家に限定されている訳ではなく、グローバルな活動である。従ってOSSセ キュリティの問題は By Default でグローバル問題である。 b. 現在米国政府が依存しているOSSは、おそらく他の国でも同様に依存していると考えれられる。 従って、各国が別々で制限などを設けたりするのではなく、手を携えてコラボレーションで解決 していく必要があり、米国政府は各国に協調を呼びかける。

Thank You 19