OpenSSF Day / OSS NAにおけるSBOM、SLSAの動向

Slide 1

Slide 1 text

© Hitachi, Ltd. 2023. All rights reserved. OpenSSF Day / OSS NAにおける SBOM、SLSAの動向 2023/06/02 日立製作所研究開発グループサービスシステムイノベーションセンタデジタルエコノミー研究部山本穂奈美・下沢拓 ※本資料は、2023/05/10-12にて開催された OpenSSF DayおよびOSS NAにおけるセッション内容をもとに作成したものです。出典：Open Source Summit North America | Linux Foundation Events、 Open Source Summit North America | Linux Foundation Events

Slide 2

Slide 2 text

1 © Hitachi, Ltd. 2023. All rights reserved. 1. はじめに 2. SBOM - An SBOM Primer: From Licenses to Security, Know What’s I Your Code, or Someone Else’s! 3. SLSA - SLSA Conformance - SLSA with Us: The Dance of AppSec Contents

Slide 3

Slide 3 text

2 © Hitachi, Ltd. 2023. All rights reserved. • Open SSF Day/OSS NAへの参加目的 HITACHIは、今年からOpenSSFのメンバーに加入し、ソフトウェア・サプライチェーン・セキュリティに注力しています。 • 本日は、「SBOM」、「SLSA」といったキーワードをもとに、ソフトウェア・サプライチェーン・セキュリティの動向をご説明させていただければ幸いです。 1. はじめに

Slide 4

Slide 4 text

Slide 5

Slide 5 text

Slide 6

Slide 6 text

5 © Hitachi, Ltd. 2023. All rights reserved. • An SBOM Primer: From Licenses to Security, Know What’s I Your Code, or Someone Else’s! 2. SBOM Jeff Shapiro, The Linux Foundation & Gary O’Neall, Source Auditor ✓ SBOM(Software Bill of Materials：ソフトウェア部品表)とは何か？なぜ必要か？いつ作成しどう使うか？を説明する入門のような講演 ✓ 標準フォーマットの紹介 ✓ SBOMの最小限の記載要素の説明 ✓ SBOMの生成ツールの紹介 ✓ SBOMの今後

Slide 7

Slide 7 text

6 © Hitachi, Ltd. 2023. All rights reserved. • SBOMとは？ 2. SBOM ✓ SBOM(Software Bill of Materials：ソフトウェア部品表) – ソフトウェアを構成するコンポーネントに関する詳細とサプライチェーン関係を記載した記録 – 脆弱性やリスクを可視化 – 2021年の米国大統領令「国家のサイバーセキュリティの向上に関する大統領令」により、ソフトウェア・サプライチェーン・セキュリティの強化への対応策の一つとしてSBOMを挙げ、SBOMが含むべき最低限の要素を規定 – ソフトウェア構成分析（SCA）ツールで、PSIRT(Product Security Incident Response Team)の延長線上で脆弱性管理する事例が増えている

Slide 8

Slide 8 text

7 © Hitachi, Ltd. 2023. All rights reserved. • SBOMの標準フォーマットの紹介 2. SBOM ✓ Linux Foundationのプロジェクトで、ISO標準 – ライセンスとセキュリティのユースケースをサポート – File formats: Tag/Value, JSON, JSON-LD, YAML, RDF/XML, XLS ✓ OWASPによるフォーマット – セキュリティのユースケースに特化 – File formats: JSON, XML, Protocol Buffers (binary) ✓ ソフトウェアの識別に焦点を当てたNIST基準 – File formats: XML

Slide 9

Slide 9 text

8 © Hitachi, Ltd. 2023. All rights reserved. • SBOMの最小限の記載要素の説明 2. SBOM Data Field 詳細 Supplier Name コンポーネントを作成、定義、および識別するエンティティの名前 Component Name 元のサプライヤーによって定義されソフトウェアのユニットに割り当てられた名前 Version of the component 前のバージョンからの変更を記載する Other Unique Identifiers コンポーネントを識別または関連するデータベースの検索キーとして機能するその他の識別子 Dependency Relationship ソフトウェアに含まれる上流コンポーネントの関係 Author of SBOM Data SBOM データを作成するエンティティの名前 Timestamp アセンブリ日時 Source: NTIA https://www.ntia.doc.gov/sites/default/files/publications/sbom_minimum_elements_report_0.pdf

Slide 10

Slide 10 text

9 © Hitachi, Ltd. 2023. All rights reserved. • SBOM生成ツールの紹介 2. SBOM ✓ SBOMは、ソフトウェアライフサイクル中で複数の方法で作成される – ソフトウェア構成分析 (SCA) ツール – ソースコードリポジトリのスキャン – ビルドツールを使用したコンポーネントと依存関係の追跡 – ビルド後に依存関係を再帰的にスキャン ✓ いつSBOMを生成、更新するか – 開発および構築フェーズ中 – 発売前（サプライヤーによる） – リリース後 (消費者またはサードパーティの監査人による) ✓ ツール – Maven Plugin – Gradle Plugin – Syft, Syft GitHub Action – SBOM Generator GitHub Action

Slide 11

Slide 11 text

10 © Hitachi, Ltd. 2023. All rights reserved. • SBOMの今後 2. SBOM ✓ SBOM for Software – Build and usage metadata. ✓ SBOM for AI – Learning data, model info, privacy info, domain. ✓ SBOM for Data – Size of dataset, noise, known biases, confidentiality, availability. ✓ SBOM for SaaS – CISA service transparency.

Slide 12

Slide 12 text

11 © Hitachi, Ltd. 2023. All rights reserved. • It's Time to Harden the DevOps Pipeline with New Open-Source Security Tooling 2. SBOM Taylor (DeployHub) ✓ DevOps パイプラインを強化する新しいオープンソースセキュリティツールを紹介する講演 ✓ DevOps パイプラインにおける5つのフェーズでのセキュリティツールの検討 ✓ The OpenSSF、CD. Foundation、 CNCF、GitHub、Microsoftのツールの紹介

Slide 13

Slide 13 text

12 © Hitachi, Ltd. 2023. All rights reserved. • Phase 1 – Code and Pre Build • Phase 2 – Build • Phase 3 – Post Build SBOM • Phase 4 – Publish • Phase 5 – ScoreCard Security Audit 2. SBOM ✓ SBOMツールとして – Docker BuildX – Syft – Microsoft SBOM tool – OpenSSF SPDX

Slide 14

Slide 14 text

Slide 15

Slide 15 text

14 © Hitachi, Ltd. 2023. All rights reserved. • SLSA Conformance 3. SLSA Kris Kooi (Google), Joshua Mulliken (Red Hat) ✓ SLSA Frameworkの概要とSLSA v1.0のカバー範囲と効果を説明する講演 ✓ SLSA Frameworkの概要 ✓ SLSA v1.0のBuild Level1-3の説明 ✓ SLSA Certified badgeの取り方

Slide 16

Slide 16 text

Slide 17

Slide 17 text

Slide 18

Slide 18 text

17 © Hitachi, Ltd. 2023. All rights reserved. • SLSA v1.0のBuild Level1-3の説明 3. SLSA ✓ Build L0 - No guarantees ✓ Build L1 - Provenance exists (document intent) ：Producerによるビルドプロセスのポリシーの作成 ✓ Build L2 - Hosted build platform (someone else builds) ：Producerによるビルドプロセスのポリシーの作成＋プラットフォーム上の第二者によるビルド ✓ Build L3 - Hardened builds (someone else builds in a hardened environment) ：Producerによるビルドプロセスのポリシーの作成＋プラットフォーム上で偽造不能で独立した環境によるビルド

Slide 19

Slide 19 text

Slide 20

Slide 20 text

19 © Hitachi, Ltd. 2023. All rights reserved. • SLSA with Us: The Dance of AppSec 3. SLSA Michael Lieberman (Kusari) ✓ SLSA v1.0の概要説明とデモンストレーションのある講演 ✓ SLSA v1.0 Build Level1-3における基準の説明 ✓ SLSA v1.0のデモンストレーション ✓ SLSAの今後の展望

Slide 21

Slide 21 text

20 © Hitachi, Ltd. 2023. All rights reserved. • SLSA v1.0の概要 3. SLSA ✓ SLSAは、サプライチェーンセキュリティフレームワークである – Build、Source、Dependenciesのトラックがある – サプライチェーンにおいてビルドが重要で、一般的にProvenance（来歴）が欠落していることが多いためビルドトラックから着手 – Provenance（来歴）のフォーマット： in-toto format (JSON) ✓ SLSAでできないこと – マルウェアの防止（検知しやすくするのみ） – 包括的なルールではない（詳しくはOpenSSFのS2C2Fを） ✓ SLSA v0.1との違い – Level 4として二人によるレビューを定義 – SLSA v1.0ではLevel 4は対象外としている

Slide 22

Slide 22 text

Slide 23

Slide 23 text

22 © Hitachi, Ltd. 2023. All rights reserved. • SLSA v1.0 Build Level1-3における基準の説明 3. SLSA ✓ Provenance generation（来歴の生成）ー Exists （存在する）ー Authentic （本物である）ー Unforgeable （偽造不可能） ✓ Isolation strength （分離強度）ー Hosted （ホスト型）ー Isolated （分離型）詳細：SLSA • Producing artifacts

Slide 24

Slide 24 text

23 © Hitachi, Ltd. 2023. All rights reserved. • SLSA v1.0のデモンストレーション 3. SLSA ✓ SLSA3 Node.js builder for GitHub Actions – SLSA • Bringing Improved Supply Chain Security to the Node.js Ecosystem – Node.js · mlieberman85/actions-test@90d57fb · GitHub – @mlieberman85/actions-test - npm (npmjs.com) ✓ デモ内容 – ビルドの実行 – SLSA Build L3準拠の来歴を生成 – パッケージとともにnpmレジストリに公開 – Provenance（来歴）の検証

Slide 25

Slide 25 text

24 © Hitachi, Ltd. 2023. All rights reserved. • SLSAの今後の展望 3. SLSA ✓ 新しいトラックの開発ー Source ー Dependencies ー Build System ✓ SLSA Build level4 ー Coming soon ー一緒に定義していきたい ✓ プログラムへのSLSAの適合ー SLSA公式マークの取得 ✓ ツールー the SLSA tooling SIGでの検討

Slide 26

Slide 26 text

Slide 27

Slide 27 text

26 © Hitachi, Ltd. 2023. All rights reserved. • Creative, Inclusive and Sustainable Cybersecurity- Getting it Done with DEI – DEI（Diversity, Equity & Inclusion）の取り組み Christine Abernathy, f5; Amanda Brock, OpenUK; Anova Hou, University of British Columbia; Eddie Knight, Sonatype & Moderated by Sal Kimmich, EscherCloud • Women & Non-Binary in Open Source Lunch (Open to Women & Non-Binary Attendees)