Slide 1

Slide 1 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ 20@731$6983('#"%45&)! bhfPcaeGYYcVWTRIHYX EQcdFcgUeDYCBSGeeAS` #"%45&„"†'$ƒ’wfs‰sst'69'c€Wq#"%45&ˆ6i

Slide 2

Slide 2 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 1 $ whoami 米内 貴志(よねうち たかし 取締役 CT 日本語ラップと綺麗な型が好 著 『Webブラウザセキュリティ 『詳解セキュリティコンテスト』 株式会社 Flatt Security

Slide 3

Slide 3 text

&0'Ç0%)É2!$#( %ÈÆ01ÅÄ Ã&Â"ÁÀ u@qƒheewE‡yt…‰ergdc)0&0XWUvT„'RP$ˆÃGi É2!$#9†ÁÀ7Ã6ˆ1543ÁV 1ÅPdˆ˜™f•#’4e É2!$ml §x«zœ¡“¨¢Œš˜—”ª§’Ž‹Œ¬x¢Š ¦ˆ¨ˆ‰ zƒ‡†‘…„™Ÿ‚Œ­¥•~|Š {y…}…›€wvž–¤©uŠ†£…t• 1ÅPdˆ˜™f•#’4e æãïâéÇ٢ˈÔç„Í›¡€wÕà‚ÒÌʽ Èåð×ÓÑÆÄСš˜ŠëÁŒÏ¾í¼‡Å»„Öº ¸·¶µ¡§x«zƒÅ¼¬xª¿ê±ˆ°‡• ò ò 1ÅÄ Ã’4e ShishowCloudwÇシショ«§x«zÔç„PolicywaswCodå¡取 ž組みŠÏ現…„ソê¿«ェアサ¬x チェˆ¢¡安͊ 守Ì×ÓÑÆÄЬxª¿ê±ˆ°‡• 2 ソフトウェアサプライチェーンセキュリティのこれから © 2022 https://shift-js.info

Slide 4

Slide 4 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 A SRQIFPGDPEGCHFCHB T CHpGwvrHsGCPÉiÂÉehdticÆÆa`YhÄÀitUcdÄÉ` ƒ mGpIwnswFPiGqFdFCHBhÀiÂÉehdticÆÆa`YhÄÀitUcdÄÉ` v ‚s•BHGpF‡Y”tiđÀÄÀ‘ˆtdÄ~UhÉÄÀÂdicÆÆa`YhÄÀwÀÉt‘dÄÉ` — ¹¨cdÀt`©¬cÄa”h¢Fps¶RQIFPŸPSpRrFRQIFiÂÉehdticÆÆa`YhÄÀ º SÔFPÍvHvpFPÂiÂÉehdticÆÆa`YhÄÀitUcdÄÉ`

Slide 5

Slide 5 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 A FEDBC iUfgUcdbDYUVa`DXbgXbdSUa`XEBEbgUCdEXdCEIScDHUdCWGGBRda`DgXdCUaWHgSQ UfUXdSEEdUDHBRdSEdDqEGS‚

Slide 6

Slide 6 text

© 2022 https://shift-js.info 5 Software Supply Chain Security

Slide 7

Slide 7 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 6 Supply Chain “ , each of which is an acquirer that begins with the sourcing of products and services and extends through the product and service life cycle” the linked set of resources and processes between and among multiple levels of an enterprise NIST SP800.161 Revision 1

Slide 8

Slide 8 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 7 Software Supply Chain S LS A Ve rs i o n 1 “ T h e s e q u e n ce of ste ps re s u l t i n g i n t h e c reat i o n of a n a r t i fa ct ”

Slide 9

Slide 9 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 A QHFHGIHGCPBEHDD ‚HCƒFuBaqHCCƒiFg‰ggrdB†cyYtpebXxW€…UvfTvQ„R`RVtpebhˆ‡

Slide 10

Slide 10 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 9 Recap: Codecov Incident

Slide 11

Slide 11 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 10 Incident: event-stream https://www.npmjs.com/package/event-stream

Slide 12

Slide 12 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 11 Incident: event-stream https://github.com/dominictarr/event-stream/issues/73

Slide 13

Slide 13 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 12 Incident: event-stream https://github.com/dominictarr/event-stream/commit/e3163361fed01384c986b9b4c18feb1fc42b8285

Slide 14

Slide 14 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 13 Incident: event-stream https://github.com/dominictarr/event-stream/issues/115

Slide 15

Slide 15 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA qdfaVXecURcp`QXiVfacpTIIGWcHdVUS pXaIYbVeaFcHGVeeUPhVXU`RcbWcpDpgcQfVEai`fC dXXIeƒxxeGeVuFa„xeIahx„yusxXdfaVXe

Slide 16

Slide 16 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA SRQHFGPEGGDFCI VeDbbRcFDGRWUPf`PTDGXb XGG‡bw……feW†Q`WGDCvH…‡WbG…XWvHfQHr‚bHFtQRG`‚RUFRuHUG‚HU…

Slide 17

Slide 17 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ %6 98@532178)(&$'#4"!0 BA YcVa`TQRXIRRUQWHXFP`SbEPXF`UcHDU`TcRXCTDTcVTcQaTG fuUHHasQURaScXvpXdURPH

Slide 18

Slide 18 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA dgaXeVSTcRTTYSbQcTPeUfGPcd`FEXSXTDHFYWfVcCVFVgaVgSXVI pEYQQXwSYTXUgc€tchYTPQ pqVSYFjc’QVSSY`F˜x˜˜€•cu”nie–“‰mˆot†pdDpCsƒ‘yƒ‡ie–“™wv

Slide 19

Slide 19 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ 72D@09!03C#2A313)5'B %)C62$59"D3C6( @4C&"!)C638(D!54

Slide 20

Slide 20 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA QFWTSRPSGVIFUGEGDHC phfTPcV bGcHFWC p‚c‚€w tcFCsCHGEC ‡Gcˆ Q…C tDHGW’WPCGC

Slide 21

Slide 21 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA IQPHRGHQFEDC t„€qHFqHRx‚ix€pxhHtƒsgyie„HtwddbfHc‚ipxHt„€wepgf a‚„H`„X„bƒdY„xgHƒsH€ƒYY„e€pibHƒsgyie„Hƒsg„xH bi€WHgeixdie„x€fVHwU€p„xgHsƒ€wHƒxHg‚„HiTpbpgfHƒsHg‚„Hƒsgyie„HgƒHe„pgHiggi€WVHix`Hi`„Swig„H€ƒxgeƒbHgƒHde„X„xgH giYd„epxhHTfHYibp€pƒwHi€gƒe ntoywÈwuhmÄÉjÂÈÂÉetmwhÈwfdjÉw™wfwmt—–”wmÀ•wÀÉÄȔÄÉt— ÉÉw™wfwmt—–”wmÀ•wÀÉkÈtdėÄÉjÉÆwmÂm•ÄÉÈumÄÉÄut—ÂhÀuÉÄÀÈ ywmwÄÈtÆmwÈÈÄÀ’ÀwwfÉĕƗw•wÀɕmwmĒmhÈtÀfÆmwfÄuÉtd—w•wutÀÄȕÈÂm wÀÈhmÄÀ’ÉtÉÆmfhuÉÈÂhÀuÉÄÀÈwuhmw—j˜tÀftÈÄÀÉwÀfwfywÈwuhmÄÉjtÀfÄÀÉw’mÄÉj‘umÄÉÄut—ÈÂÉetmw‰ÈÂÉetmw ÉtÉÆwmÂm•ÈÂhÀuÉÄÀÈumÄÉÄut—ÉÉmhÈÉnÈhutÈtˆmfÄÀ’mmw‡hÄmÄÀ’w—w”tÉwfÈjÈÉw•ÆmĔėw’wÈmfÄmwuÉtuuwÈÈÉ ÀwÉem†ÄÀ’tÀfu•ÆhÉÄÀ’mwÈhmuwÈoÄÈtÆtmÉÄuh—tmuÀuwmÀ…uumfÄÀ’—j˜Éw™wfwmt—–”wmÀ•wÀɕhÈÉÉt†wtuÉÄÀÉ mtÆÄf—jĕÆm”wÉwÈwuhmÄÉjtÀfÄÀÉw’mÄÉjÂÉwÈÂÉetmwÈhÆƗjutÄÀ˜eÄÉtÆmÄmÄÉjÀtffmwÈÈÄÀ’umÄÉÄut—ÈÂÉetmw

Slide 22

Slide 22 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 21 #1: EO 14028 ― Tasks

Slide 23

Slide 23 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 22 #1: EO 14028 ― SP 800-218 (NIST SSDF)   Prepare the Organization (PO) Related: preparation of people, processes, and tools   Protect the Software (PS) Rleated: artifact integrity   Produce Well-Secured Software (PW) Related: designing, writing, and testing of software   Respond to Vulnerabilities (RV) Related: everything after software releases

Slide 24

Slide 24 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 23 #1: EO 14028 ― SP 800-218 (NIST SSDF) Quoted from SP 800-218 (NIST SSDF)

Slide 25

Slide 25 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 24 #2: サイバーセキュリティ2022

Slide 26

Slide 26 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 25 #3: Package Ecosystems ― Hardening of AuthN

Slide 27

Slide 27 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 26 #3: Package Ecosystems ― Changing Its Nature

Slide 28

Slide 28 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 27 #4: Sigstore

Slide 29

Slide 29 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 28 #5: Alpha-Omega Projects (OpenSSF)

Slide 30

Slide 30 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 28 #6: Allstar & Scorecard (OpenSSF)

Slide 31

Slide 31 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 29 #7: Assured Open Source Software Service (Google)

Slide 32

Slide 32 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA HEGFEDGC eGW`DFGUTSGaaGFR QcYaFcPTcYTIIb eGW`DFGU‚ y …ccvT‡`aqGYaDQDarTcgT€tfi y …ccvTDYaGfFDarTcgT€tfU —`SPDUqGU fGPDEGFU fG€GYvUTCqDPGTFGW`DFDYf‚ y …ccvT‡`aqGYaDQDarTcgT€tfi y …ccvTDYaGfFDarTcgT€tfU I`€€cFaq ~DvGvTnP€q‡wHGf‡T—FclGQaUt I`€€cFaq ~DvGvTnPPUa‡Ft ŠcFtUTŠDaq ŠqcT —`SPDUqGU ŠqcT fGPDEGFU ŠqcT fGEGPc€ ‹TH€U H€GYII¡ ‹TIGQ`FDarT ¦GYvcFU —`SPD± IGQacFq ‹TªUGFU

Slide 33

Slide 33 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA GTWRUVPIQRUVPIRTVWHSFRERDWQC `Y sHiSpfR TYfIWba sPf„Pƒ€ wfWavaIYta Yf‘ Uˆa wdIYb•bpaYa

Slide 34

Slide 34 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 31 No Silver Bullet (Recap: #seccamp2022b4)

Slide 35

Slide 35 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 32 No Silver Bullet. Back to the Basics! 1 Identify your assets. 2 Know threats and risks. 3 Reduce risks.

Slide 36

Slide 36 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 33 Least Privilege and Short-lived Credentials (Recap: #seccamp2022b4)

Slide 37

Slide 37 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 34 Minimization of Dependencies        Adding dependencies accelerates “dependency hell”! yarn add foo

Slide 38

Slide 38 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 35 Minimization of Dependencies yarn add foo        Adding dependencies accelerates “dependency hell” Take a step back before `yarn add ...` to minimize risks.

Slide 39

Slide 39 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ $&'%#"!' #& R SC'#%EPGPD9CHP1#"EPR S& &SP5P4E% A9' #&P@#%PR!22)HP1B9 &P$&'ES% 'H

Slide 40

Slide 40 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA WTIUTRIQSPHSWGEPRGESDPTIFIGCV tIfiRUIVSbICCIUa `PGCUPYSPGSXXq tIfiRUIV‘ ˆ ”PP…S–iC€IGCR`RCSPHS‰ƒEx ˆ ”PP…SRGCIEURCSPHS‰ƒEV jibYRV€IV oIYRTIUV oI‰IG…VSQ€RYISUIfiRURGE‘ ˆ ”PP…S–iC€IGCR`RCSPHS‰ƒEx ˆ ”PP…SRGCIEURCSPHS‰ƒEV Xi‰‰PUCz ‡RISwY‰€–€WFIE–SjUPuI`CV} Xi‰‰PUCz ‡RISwYYVC–U} “PUƒVS“RC€ “€PS jibYRV€IV “€PS oIYRTIUV “€PS oITIYP‰™ ”SW‰V W‰IGXXª ”SXI`iURCS ¯IG…PUV jibYRº XI`CPUz ”S³VIUV

Slide 41

Slide 41 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA TWGSPQIHRITGHUWGIFEGIDSVHWVGC tGfigEGdIbGPPGEa `HSPEHWIHSIXXq tGfigEGd‘ ˆ ”HHCI–iP€GSPg`gPQIHRIUƒux ˆ ”HHCIgSPGuEgPQIHRIUƒud m€HI TibWgd€Gd m€HI uGWgVGEd m€HI uGVGWHU~ yI}Ud }UGSXX yIXG`iEgPQI ”GSCHEd TibWgŸ XG`PHE› yI˜dGEd

Slide 42

Slide 42 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 31 Recap: No Silver Bullet. Back to the Basis! (Recap: #seccamp2022b4)

Slide 43

Slide 43 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ $"! # I P@F#HBGDGA6@EG(#4BGI P3 3PG2G1BH 8!6F #3G7#HGI))"EG(96 3G%3FBPH FE

Slide 44

Slide 44 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ %6 98@532178)(&$'#4"!0 BA HCFEDG HCFEDGeaXG`YaVDUbDbUaXYTSDQEISYaPCSGTDSR

Slide 45

Slide 45 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA VTRQPIEUSDGPHGFC gD`FfPQTFPhGUUGYDfXW IEUSDGPDCCEFCW q uFvQDwSRQF € € QTRQPƒFCSvD†FC ™HPDfPRfP™ƒ’ d d DC lFjPgYfFv d m d m Gh ’vD`RQFPlFj m m ’E†UDSPlFj m m n ’E†UDSPlFj m m o ™HPQGrFfPhGv ™HPDfPRfP™ƒ’ d d z DXfRQEvF „ „ GhPRPSURDŽPDfPQTFPQGrFf

Slide 46

Slide 46 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 39 How Fulcio Works F3. Pass CSR + T F4. Fetch JWKS F5. Return JWKS F6. Verify T F7. Return a Cert F1. Request an ID token F2. Issue the token T Signer Fulcio IdP

Slide 47

Slide 47 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 40 How Fulcio Works F1. Request an ID token F2. Issue the token T Signer Fulcio IdP \ You’re Taro! / \ I’m Taro /

Slide 48

Slide 48 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA DSRPTGUEFSPQSHIC TfcPaYCCPbWXPVP` WFprqH TGUEFS vta w vhPYG˜ˆqr˜FEY˜qtPYCP`YHSPFrPvtacPDqHqhCP—PƒGgUFEPIq– PYrtP˜ˆqPqyFtqrEqPSxPIq—PƒSCCqCCFSrP‚ k

Slide 49

Slide 49 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA DSRPTGUEFSPQSHIC TefPTcbEYPaQXV T€fPvcbGHqPaQXV T‘fP„cHF‡‰P‚ VF•qcH TGUEFS e™d f excPESqkHtc™P‰SGxHcP‚pHSPpq™} ‰SGxHcPbYcPSRqcHPS‡PbYcPjGwUFEPIc‰i ‚

Slide 50

Slide 50 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA DSRPTGUEFSPQSHIC TefPb`XGHVPaPY`HX iFpV`H TGUEFS vtu v‚PFVPaVPvtu … … FC “`‘PˆRV`H … ” … ” S• uHFdaX`P“`‘ ” ” uGoUFEP“`‘ ” ” Y`HXFzEaX` } }

Slide 51

Slide 51 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 44 with Fulcio e.g. oauth2.sigstore.dev F3. Pass CSR + T F4. Fetch JWKS F5. Return JWKS F6. Verify T F7. Return a Cert F1. Request an ID token F2. Issue the token T You Fulcio IdP

Slide 52

Slide 52 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA FVUQGXWTRUVIHSWEVUPWDGCRVI DifWdbSSWe`aWYWc D€fWDxURPWvrs` D•fWaxUG’HWvrs` DjfW™x’VfhWc DufWaxUG’HWbWex’U DfWaxƒGxSUWbHWx†WUI€xH D‘fWxSSGxWUPxWUI€xHWc rI’€˜IE DGCRVI FQŸ x¡d

Slide 53

Slide 53 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 46 Exercise Play with Fulcio

Slide 54

Slide 54 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ #" ! H4I9E!"FCF@59DF'3"FH4I242IF1F0"!47&5E42F6!FH)((%DF'8542F$2E"I!4ED

Slide 55

Slide 55 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 50 Rekor Rekor: Immutable and Tamper-Resistant Metadata Ledger

Slide 56

Slide 56 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA TSRPIQEHFGIDFEC hq`EgIPSEIiFaaFYqgXIqgWfPCV tiGFxIyfasqFr „ ˆEGPqsRPE “ “ PSRPI–ECsGq™EC pDIqgIRgIp–i q q qC yEwItYgEG q z q z Fi iGq`RPEIyEw z z if™aqsIyEw z z †††IRg–IPSEgICPFGECIPSEIqgWfPCIPFIGEsFG–V pDIqgIRgIp–i q q XEgEGRPE– qXgRPfGE ” ” Fi QECFfGsE • • – qXgRPfGE ” ” Fi QECFfGsE • • ™w iGq`RPEIyEw z z QEHFGI`EGqECV – if™aqsIyEw z z qg ˆEGPqsRPE “ “ `EGqEC qXgRPfGE ” ” Fi QECFfGsE • • CfssECCifaaw „ ˆEGPqsRPE “ “ qCIaEXqPqxRPE

Slide 57

Slide 57 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA WVUGSPGTVRHQGEFDIC ScGbaG`aGSYX f f bQGtpu`hGPV „t‚GyUatR f … f … V† XRb‘`PtG„t‚ … … Xufhb™G„t‚ … … b† otRPbq™`Pt t t bQGhtwbPbv`Pt otRPbq™`Pt t t bQGhtwbPbv`Pt ScGbaG`aGSYX f f bQGtpu`hGPV „t‚GyUatR f … f … V† XRb‘`PtG„t‚ … … Xufhb™G„t‚ … … RVvG`GYtqabPbVaGV†G`G™tRPbq™`PtGtRt~ ¢†PtRG™tHVRG‘tRbqtQŸGPtG†VhhVUbawGVhYQ~ Wta™t~

Slide 58

Slide 58 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA WVUFSIFTVQGPFERDHC `xIrQFhrGVQqPFirQcwadIcVpyFIfrFxVggVUcpYFfVgXP€ Wrpar€ —frFxVggVUcpYFfVgXPFcpFYrprQdg€ kifgcaF˜rg l l cp prQIcwadIr u u irQcwrP zcYpdIiQr   Vx hrPViQar € € PiaarPPxiggg ˜rgFƒUprQ ‰ l ‰ l Vx kQcidIrF˜rg l l kifgcaF˜rg l l “iPIFfrFUfVFYrprQdIrX zcYpdIiQr   Vx hrPViQar € € ˜rgFƒUprQ ‰ l ‰ l Vx kQcidIrF˜rg l l kifgcaF˜rg l l “iPIFfrFUfVFYrprQdIrX zcYpdIiQr   Vx hrPViQar € € cx kifgcaF˜rg l l adpFirQcxg zcYpdIiQr  

Slide 59

Slide 59 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 54 How It Works (3/3) From “How It Works (1/3)”: From “How It Works (2/3)”: Hence: ID in an IdP   is equal to Key Owner     of Private Key   Public Key   Key Owner     of Private Key   Public Key   must be who generated Signature   of Resource   ID in an IdP   generated Signature   of Resource  

Slide 60

Slide 60 text

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 55 Exercise Play with Rekor

Slide 61

Slide 61 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA SYVTRQIPUTWIHFEVDXIGXYC pDcYiIWUYIqXEEXbDiaQ HFEVDXIDCCFYCQ wYxWDyVTWY ‚ ‚ WUTWI…YCVxDˆYC eGIDiITiIe…” f f DC nYlIibiYx f o f o Xq ”xDcTWYInYl o o ”FˆEDVInYl o o p ”FˆEDVInYl o o q eGIWXtYiIqXx eGIDiITiIe…” f f | DaiTWFxY † † XqITIVETDIDiIWUYIWXtYi

Slide 62

Slide 62 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA QWTRPIGHSRUGQWFVEGDVWC qtcWpGUSWGrVddVbtpaGtpPiUCI wrEVG‚idTtVu ‡ ‘WEUt“TRUW – – USRUG™WCTEtfWC sDGtpGRpGs™l t t tC |WzGwbpWE t } t } Vr lEtcRUWG|Wz } } lifdtTG|Wz } } ‰‰‰GRp™GUSWpGCUVEWCGUSWGtpPiUCGUVGEWTVE™I sDGtpGRpGs™l t t aWpWERUW™ ’tapRUiEW — — Vr QWCViETW ˜ ˜ ™ ’tapRUiEW — — Vr QWCViETW ˜ ˜ fz lEtcRUWG|Wz } } QWFVEGcWEt“WCI ™ lifdtTG|Wz } } tp ‘WEUt“TRUW – – cWEt“WC ’tapRUiEW — — Vr QWCViETW ˜ ˜ CiTTWCCriddz ‡ ‘WEUt“TRUW – – tCGdWatUtRUW

Slide 63

Slide 63 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA gDSQd`VfeTXdRdPWcXHdFUSbfWEdIaCGY h xVbfTediWt y y xHTƒSQWdiWt y y  d•dQXcWUd‘XH d•dTUdSUddfx m m n PWEXVHeW o o {VwwXEWdtXVdDSƒWv `VfeTXdRdPWcXHdcWWwEv | €WHQT‚eSQW … … ‰TQD xVbfTediWt y y QDSQdfWEeHTbWE d•dTUdSUddfx m m TE iWtdŒ‰UWH m y m y X‘ xHTƒSQWdiWt y y xVbfTediWt y y ’ {T˜USQVHW œ œ X‘ PWEXVHeW o o bt xHTƒSQWdiWt y y «XdWUSbfWdVEdQXdHWeXHfv | d•dTUdSUddfx m m ˜WUWHSQWf {T˜USQVHW œ œ X‘ PWEXVHeW o o

Slide 64

Slide 64 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA gETRdaWfeUYdSdQXcYIdGVTbfXFdPDCH` h xWbfUediXt y y xIUƒTRXdiXt y y  d•dRYcXVd‘YI d•dUVdTVddfx m m n QXFYWIeX o o {WwwYFXdtYWdETƒXv aWfeUYdSdQXcYIdcXXwFv | €XIRU‚eTRX … … ‰URE xWbfUediXt y y RETRdfXFeIUbXF d•dUVdTVddfx m m UF iXtdŒ‰VXI m y m y Y‘ xIUƒTRXdiXt y y xWbfUediXt y y ’ {U˜VTRWIX œ œ Y‘ QXFYWIeX o o bt xIUƒTRXdiXt y y | d•dUVdTVddfx m m ˜XVXITRXf {U˜VTRWIX œ œ Y‘ QXFYWIeX o o ±d|dIXFYWIeXdFU˜VTRWIXdfUVcFd‰UREdTVdUfXVRURt¨dTFd‰XffdTFdTdcXt²

Slide 65

Slide 65 text

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA fDSQc`VedTXcRcPWbXHcFUSaeWEcIGCGY g wVaeTdchWs x x wHT‚SQWchWs x x ‰ ™”cQXbWUcXH ™”cTUcSUc™ew l l m PWEXVHdW n n c~XceXUwWHcUWWecQXcbWWrcScrHT‚SQWcbWscXHcSceXUwz `VedTXcRcPWbXHcbWWrEƒ ‘ •WHQT—dSQW š š žTQD wVaeTdchWs x x QDSQceWEdHTaWE ™”cTUcSUc™ew l l TE hWsc¡žUWH l x l x X wHT‚SQWchWs x x wVaeTdchWs x x § ¬TwUSQVHW ± ± X PWEXVHdW n n as wHT‚SQWchWs x x ÀXcWUSaeWcVEcQXcHWdXHeƒ ‘ ™”cTUcSUc™ew l l wWUWHSQWe ¬TwUSQVHW ± ± X PWEXVHdW n n

Slide 66

Slide 66 text

© 2022 https://shift-js.info 68 Wrapping Up (B5)

Slide 67

Slide 67 text

&0'Ç0%)É2!$#( %ÈÆ01ÅÄ Ã&Â"ÁÀ u@qƒheewE‡yt…‰ergdc)0&0XWUvT„'RP$ˆÃGi É2!$#9†ÁÀ7Ã6ˆ1543ÁV —d˜–6•”Æ’ Ž€}‘tw†Œt‰ƒqxrw† Œt~…p{u~‚†ˆ‡„o‹mzvy Š|yksj†qtihgfnel —ƒ˜™š•heeše‡y– ËÇ»µ}‹¹¸Ä·´º‰pƒqxr¨ °À§Š¶}¦£¬¢~…p¨°ÂÀ«¡z Ê Ÿ¬¢„¹¥„mzvyŠw ÌÌÌ ÕàÐãâäßÝÜÛáâÙØÖÔ×ÓÞÒÑÏÎÚÍ õôñóññôðîîëíèììíðéçîæêíïéåçò