ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ 20@731$6983('#"%45&)! bhfPcaeGYYcVWTRIHYX EQcdFcgUeDYCBSGeeAS` #"%45&„"†'$ƒ’wfs‰sst'69'c€Wq#"%45&ˆ6i

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 1 $ whoami 米内 貴志（よねうち たかし 取締役 CT 日本語ラップと綺麗な型が好 著 『Webブラウザセキュリティ 『詳解セキュリティコンテスト』 株式会社 Flatt Security

&0'Ç0%)É2!$#( %ÈÆ01ÅÄ Ã&Â"ÁÀ u@qƒheewE‡yt…‰ergdc)0&0XWUvT„'RP$ˆÃGi É2!$#9†ÁÀ7Ã6ˆ1543ÁV 1ÅPdˆ˜™f•#’4e É2!$ml §x«zœ¡“¨¢Œš˜—”ª§’Ž‹Œ¬x¢Š ¦ˆ¨ˆ‰ zƒ‡†‘…„™Ÿ‚Œ­¥•~|Š {y…}…›€wvž–¤©uŠ†£…t• 1ÅPdˆ˜™f•#’4e æãïâéÇ٢ˈÔç„Í›¡€wÕà‚ÒÌʽ Èåð×ÓÑÆÄСš˜ŠëÁŒÏ¾í¼‡Å»„Öº ¸·¶µ¡§x«zƒÅ¼¬xª¿ê±ˆ°‡• ò ò 1ÅÄ Ã’4e ShishowCloudwÇシショ«§x«zÔç„PolicywaswCodå¡取 ž組みŠÏ現…„ソê¿«ェアサ¬x チェˆ¢¡安͊ 守Ì×ÓÑÆÄЬxª¿ê±ˆ°‡• 2 ソフトウェアサプライチェーンセキュリティのこれから © 2022 https://shift-js.info

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 A SRQIFPGDPEGCHFCHB T CHpGwvrHsGCPÉiÂÉehdticÆÆa`YhÄÀitUcdÄÉ` ƒ mGpIwnswFPiGqFdFCHBhÀiÂÉehdticÆÆa`YhÄÀitUcdÄÉ` v ‚s•BHGpF‡Y”tiđÀÄÀ‘ˆtdÄ~UhÉÄÀÂdicÆÆa`YhÄÀwÀÉt‘dÄÉ` — ¹¨cdÀt`©¬cÄa”h¢Fps¶RQIFPŸPSpRrFRQIFiÂÉehdticÆÆa`YhÄÀ º SÔFPÍvHvpFPÂiÂÉehdticÆÆa`YhÄÀitUcdÄÉ`

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 A FEDBC iUfgUcdbDYUVa`DXbgXbdSUa`XEBEbgUCdEXdCEIScDHUdCWGGBRda`DgXdCUaWHgSQ UfUXdSEEdUDHBRdSEdDqEGS‚

© 2022 https://shift-js.info 5 Software Supply Chain Security

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 6 Supply Chain “ , each of which is an acquirer that begins with the sourcing of products and services and extends through the product and service life cycle” the linked set of resources and processes between and among multiple levels of an enterprise NIST SP800.161 Revision 1

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 7 Software Supply Chain S LS A Ve rs i o n 1 “ T h e s e q u e n ce of ste ps re s u l t i n g i n t h e c reat i o n of a n a r t i fa ct ”

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 A QHFHGIHGCPBEHDD ‚HCƒFuBaqHCCƒiFg‰ggrdB†cyYtpebXxW€…UvfTvQ„R`RVtpebhˆ‡

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 9 Recap: Codecov Incident

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 10 Incident: event-stream https://www.npmjs.com/package/event-stream

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 11 Incident: event-stream https://github.com/dominictarr/event-stream/issues/73

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 12 Incident: event-stream https://github.com/dominictarr/event-stream/commit/e3163361fed01384c986b9b4c18feb1fc42b8285

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 13 Incident: event-stream https://github.com/dominictarr/event-stream/issues/115

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA qdfaVXecURcp`QXiVfacpTIIGWcHdVUS pXaIYbVeaFcHGVeeUPhVXU`RcbWcpDpgcQfVEai`fC dXXIeƒxxeGeVuFa„xeIahx„yusxXdfaVXe

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA SRQHFGPEGGDFCI VeDbbRcFDGRWUPf`PTDGXb XGG‡bw……feW†Q`WGDCvH…‡WbG…XWvHfQHr‚bHFtQRG`‚RUFRuHUG‚HU…

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ %6 98@532178)(&$'#4"!0 BA YcVa`TQRXIRRUQWHXFP`SbEPXF`UcHDU`TcRXCTDTcVTcQaTG fuUHHasQURaScXvpXdURPH

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA dgaXeVSTcRTTYSbQcTPeUfGPcd`FEXSXTDHFYWfVcCVFVgaVgSXVI pEYQQXwSYTXUgc€tchYTPQ pqVSYFjc’QVSSY`F˜x˜˜€•cu”nie–“‰mˆot†pdDpCsƒ‘yƒ‡ie–“™wv

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ 72D@09!03C#2A313)5'B %)C62$59"D3C6( @4C&"!)C638(D!54

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA QFWTSRPSGVIFUGEGDHC phfTPcV bGcHFWC p‚c‚€w tcFCsCHGEC ‡Gcˆ Q…C tDHGW’WPCGC

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA IQPHRGHQFEDC t„€qHFqHRx‚ix€pxhHtƒsgyie„HtwddbfHc‚ipxHt„€wepgf a‚„H`„X„bƒdY„xgHƒsH€ƒYY„e€pibHƒsgyie„Hƒsg„xH bi€WHgeixdie„x€fVHwU€p„xgHsƒ€wHƒxHg‚„HiTpbpgfHƒsHg‚„Hƒsgyie„HgƒHe„pgHiggi€WVHix`Hi`„Swig„H€ƒxgeƒbHgƒHde„X„xgH giYd„epxhHTfHYibp€pƒwHi€gƒe ntoywÈwuhmÄÉjÂÈÂÉetmwhÈwfdjÉw™wfwmt—–”wmÀ•wÀÉÄȔÄÉt— ÉÉw™wfwmt—–”wmÀ•wÀÉkÈtdėÄÉjÉÆwmÂm•ÄÉÈumÄÉÄut—ÂhÀuÉÄÀÈ ywmwÄÈtÆmwÈÈÄÀ’ÀwwfÉĕƗw•wÀɕmwmĒmhÈtÀfÆmwfÄuÉtd—w•wutÀÄȕÈÂm wÀÈhmÄÀ’ÉtÉÆmfhuÉÈÂhÀuÉÄÀÈwuhmw—j˜tÀftÈÄÀÉwÀfwfywÈwuhmÄÉjtÀfÄÀÉw’mÄÉj‘umÄÉÄut—ÈÂÉetmw‰ÈÂÉetmw ÉtÉÆwmÂm•ÈÂhÀuÉÄÀÈumÄÉÄut—ÉÉmhÈÉnÈhutÈtˆmfÄÀ’mmw‡hÄmÄÀ’w—w”tÉwfÈjÈÉw•ÆmĔėw’wÈmfÄmwuÉtuuwÈÈÉ ÀwÉem†ÄÀ’tÀfu•ÆhÉÄÀ’mwÈhmuwÈoÄÈtÆtmÉÄuh—tmuÀuwmÀ…uumfÄÀ’—j˜Éw™wfwmt—–”wmÀ•wÀɕhÈÉÉt†wtuÉÄÀÉ mtÆÄf—jĕÆm”wÉwÈwuhmÄÉjtÀfÄÀÉw’mÄÉjÂÉwÈÂÉetmwÈhÆƗjutÄÀ˜eÄÉtÆmÄmÄÉjÀtffmwÈÈÄÀ’umÄÉÄut—ÈÂÉetmw

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 21 #1: EO 14028 ― Tasks

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 22 #1: EO 14028 ― SP 800-218 (NIST SSDF)   Prepare the Organization (PO) Related: preparation of people, processes, and tools   Protect the Software (PS) Rleated: artifact integrity   Produce Well-Secured Software (PW) Related: designing, writing, and testing of software   Respond to Vulnerabilities (RV) Related: everything after software releases

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 23 #1: EO 14028 ― SP 800-218 (NIST SSDF) Quoted from SP 800-218 (NIST SSDF)

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 24 #2: サイバーセキュリティ2022

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 25 #3: Package Ecosystems ― Hardening of AuthN

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 26 #3: Package Ecosystems ― Changing Its Nature

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 27 #4: Sigstore

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 28 #5: Alpha-Omega Projects (OpenSSF)

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 28 #6: Allstar & Scorecard (OpenSSF)

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 29 #7: Assured Open Source Software Service (Google)

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA HEGFEDGC eGW`DFGUTSGaaGFR QcYaFcPTcYTIIb eGW`DFGU‚ y …ccvT‡`aqGYaDQDarTcgT€tfi y …ccvTDYaGfFDarTcgT€tfU —`SPDUqGU fGPDEGFU fG€GYvUTCqDPGTFGW`DFDYf‚ y …ccvT‡`aqGYaDQDarTcgT€tfi y …ccvTDYaGfFDarTcgT€tfU I`€€cFaq ~DvGvTnP€q‡wHGf‡T—FclGQaUt I`€€cFaq ~DvGvTnPPUa‡Ft ŠcFtUTŠDaq ŠqcT —`SPDUqGU ŠqcT fGPDEGFU ŠqcT fGEGPc€ ‹TH€U H€GYII¡ ‹TIGQ`FDarT ¦GYvcFU —`SPD± IGQacFq ‹TªUGFU

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA GTWRUVPIQRUVPIRTVWHSFRERDWQC `Y sHiSpfR TYfIWba sPf„Pƒ€ wfWavaIYta Yf‘ Uˆa wdIYb•bpaYa

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 31 No Silver Bullet (Recap: #seccamp2022b4)

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 32 No Silver Bullet. Back to the Basics! 1 Identify your assets. 2 Know threats and risks. 3 Reduce risks.

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 33 Least Privilege and Short-lived Credentials (Recap: #seccamp2022b4)

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 34 Minimization of Dependencies        Adding dependencies accelerates “dependency hell”! yarn add foo

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 35 Minimization of Dependencies yarn add foo        Adding dependencies accelerates “dependency hell” Take a step back before `yarn add ...` to minimize risks.

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ $&'%#"!' #& R SC'#%EPGPD9CHP1#"EPR S& &SP5P4E% A9' #&P@#%PR!22)HP1B9 &P$&'ES% 'H

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA WTIUTRIQSPHSWGEPRGESDPTIFIGCV tIfiRUIVSbICCIUa `PGCUPYSPGSXXq tIfiRUIV‘ ˆ ”PP…S–iC€IGCR`RCSPHS‰ƒEx ˆ ”PP…SRGCIEURCSPHS‰ƒEV jibYRV€IV oIYRTIUV oI‰IG…VSQ€RYISUIfiRURGE‘ ˆ ”PP…S–iC€IGCR`RCSPHS‰ƒEx ˆ ”PP…SRGCIEURCSPHS‰ƒEV Xi‰‰PUCz ‡RISwY‰€–€WFIE–SjUPuI`CV} Xi‰‰PUCz ‡RISwYYVC–U} “PUƒVS“RC€ “€PS jibYRV€IV “€PS oIYRTIUV “€PS oITIYP‰™ ”SW‰V W‰IGXXª ”SXI`iURCS ¯IG…PUV jibYRº XI`CPUz ”S³VIUV

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA TWGSPQIHRITGHUWGIFEGIDSVHWVGC tGfigEGdIbGPPGEa `HSPEHWIHSIXXq tGfigEGd‘ ˆ ”HHCI–iP€GSPg`gPQIHRIUƒux ˆ ”HHCIgSPGuEgPQIHRIUƒud m€HI TibWgd€Gd m€HI uGWgVGEd m€HI uGVGWHU~ yI}Ud }UGSXX yIXG`iEgPQI ”GSCHEd TibWgŸ XG`PHE› yI˜dGEd

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 31 Recap: No Silver Bullet. Back to the Basis! (Recap: #seccamp2022b4)

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ $"! # I P@F#HBGDGA6@EG(#4BGI P3 3PG2G1BH 8!6F #3G7#HGI))"EG(96 3G%3FBPH FE

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ %6 98@532178)(&$'#4"!0 BA HCFEDG HCFEDGeaXG`YaVDUbDbUaXYTSDQEISYaPCSGTDSR

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA VTRQPIEUSDGPHGFC gD`FfPQTFPhGUUGYDfXW IEUSDGPDCCEFCW q uFvQDwSRQF € € QTRQPƒFCSvD†FC ™HPDfPRfP™ƒ’ d d DC lFjPgYfFv d m d m Gh ’vD`RQFPlFj m m ’E†UDSPlFj m m n ’E†UDSPlFj m m o ™HPQGrFfPhGv ™HPDfPRfP™ƒ’ d d z DXfRQEvF „ „ GhPRPSURDŽPDfPQTFPQGrFf

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 39 How Fulcio Works F3. Pass CSR + T F4. Fetch JWKS F5. Return JWKS F6. Verify T F7. Return a Cert F1. Request an ID token F2. Issue the token T Signer Fulcio IdP

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 40 How Fulcio Works F1. Request an ID token F2. Issue the token T Signer Fulcio IdP \ You’re Taro! / \ I’m Taro /

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA DSRPTGUEFSPQSHIC TfcPaYCCPbWXPVP` WFprqH TGUEFS vta w vhPYG˜ˆqr˜FEY˜qtPYCP`YHSPFrPvtacPDqHqhCP—PƒGgUFEPIq– PYrtP˜ˆqPqyFtqrEqPSxPIq—PƒSCCqCCFSrP‚ k

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA DSRPTGUEFSPQSHIC TefPTcbEYPaQXV T€fPvcbGHqPaQXV T‘fP„cHF‡‰P‚ VF•qcH TGUEFS e™d f excPESqkHtc™P‰SGxHcP‚pHSPpq™} ‰SGxHcPbYcPSRqcHPS‡PbYcPjGwUFEPIc‰i ‚

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA DSRPTGUEFSPQSHIC TefPb`XGHVPaPY`HX iFpV`H TGUEFS vtu v‚PFVPaVPvtu … … FC “`‘PˆRV`H … ” … ” S• uHFdaX`P“`‘ ” ” uGoUFEP“`‘ ” ” Y`HXFzEaX` } }

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 44 with Fulcio e.g. oauth2.sigstore.dev F3. Pass CSR + T F4. Fetch JWKS F5. Return JWKS F6. Verify T F7. Return a Cert F1. Request an ID token F2. Issue the token T You Fulcio IdP

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA FVUQGXWTRUVIHSWEVUPWDGCRVI DifWdbSSWe`aWYWc D€fWDxURPWvrs` D•fWaxUG’HWvrs` DjfW™x’VfhWc DufWaxUG’HWbWex’U DfWaxƒGxSUWbHWx†WUI€xH D‘fWxSSGxWUPxWUI€xHWc rI’€˜IE DGCRVI FQŸ x¡d

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 46 Exercise Play with Fulcio

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀÂ #" ! H4I9E!"FCF@59DF'3"FH4I242IF1F0"!47&5E42F6!FH)((%DF'8542F$2E"I!4ED

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 50 Rekor Rekor: Immutable and Tamper-Resistant Metadata Ledger

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA TSRPIQEHFGIDFEC hq`EgIPSEIiFaaFYqgXIqgWfPCV tiGFxIyfasqFr „ ˆEGPqsRPE “ “ PSRPI–ECsGq™EC pDIqgIRgIp–i q q qC yEwItYgEG q z q z Fi iGq`RPEIyEw z z if™aqsIyEw z z †††IRg–IPSEgICPFGECIPSEIqgWfPCIPFIGEsFG–V pDIqgIRgIp–i q q XEgEGRPE– qXgRPfGE ” ” Fi QECFfGsE • • – qXgRPfGE ” ” Fi QECFfGsE • • ™w iGq`RPEIyEw z z QEHFGI`EGqECV – if™aqsIyEw z z qg ˆEGPqsRPE “ “ `EGqEC qXgRPfGE ” ” Fi QECFfGsE • • CfssECCifaaw „ ˆEGPqsRPE “ “ qCIaEXqPqxRPE

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA WVUGSPGTVRHQGEFDIC ScGbaG`aGSYX f f bQGtpu`hGPV „t‚GyUatR f … f … V† XRb‘`PtG„t‚ … … Xufhb™G„t‚ … … b† otRPbq™`Pt t t bQGhtwbPbv`Pt otRPbq™`Pt t t bQGhtwbPbv`Pt ScGbaG`aGSYX f f bQGtpu`hGPV „t‚GyUatR f … f … V† XRb‘`PtG„t‚ … … Xufhb™G„t‚ … … RVvG`GYtqabPbVaGV†G`G™tRPbq™`PtGtRt~ ¢†PtRG™tHVRG‘tRbqtQŸGPtG†VhhVUbawGVhYQ~ Wta™t~

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA WVUFSIFTVQGPFERDHC `xIrQFhrGVQqPFirQcwadIcVpyFIfrFxVggVUcpYFfVgXP€ Wrpar€ —frFxVggVUcpYFfVgXPFcpFYrprQdg€ kifgcaF˜rg l l cp prQIcwadIr u u irQcwrP zcYpdIiQr   Vx hrPViQar € € PiaarPPxiggg ˜rgFƒUprQ ‰ l ‰ l Vx kQcidIrF˜rg l l kifgcaF˜rg l l “iPIFfrFUfVFYrprQdIrX zcYpdIiQr   Vx hrPViQar € € ˜rgFƒUprQ ‰ l ‰ l Vx kQcidIrF˜rg l l kifgcaF˜rg l l “iPIFfrFUfVFYrprQdIrX zcYpdIiQr   Vx hrPViQar € € cx kifgcaF˜rg l l adpFirQcxg zcYpdIiQr  

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 54 How It Works (3/3) From “How It Works (1/3)”: From “How It Works (2/3)”: Hence: ID in an IdP   is equal to Key Owner     of Private Key   Public Key   Key Owner     of Private Key   Public Key   must be who generated Signature   of Resource   ID in an IdP   generated Signature   of Resource  

© 2022 https://shift-js.info ソフトウェアサプライチェーンセキュリティのこれから 55 Exercise Play with Rekor

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA SYVTRQIPUTWIHFEVDXIGXYC pDcYiIWUYIqXEEXbDiaQ HFEVDXIDCCFYCQ wYxWDyVTWY ‚ ‚ WUTWI…YCVxDˆYC eGIDiITiIe…” f f DC nYlIibiYx f o f o Xq ”xDcTWYInYl o o ”FˆEDVInYl o o p ”FˆEDVInYl o o q eGIWXtYiIqXx eGIDiITiIe…” f f | DaiTWFxY † † XqITIVETDIDiIWUYIWXtYi

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA QWTRPIGHSRUGQWFVEGDVWC qtcWpGUSWGrVddVbtpaGtpPiUCI wrEVG‚idTtVu ‡ ‘WEUt“TRUW – – USRUG™WCTEtfWC sDGtpGRpGs™l t t tC |WzGwbpWE t } t } Vr lEtcRUWG|Wz } } lifdtTG|Wz } } ‰‰‰GRp™GUSWpGCUVEWCGUSWGtpPiUCGUVGEWTVE™I sDGtpGRpGs™l t t aWpWERUW™ ’tapRUiEW — — Vr QWCViETW ˜ ˜ ™ ’tapRUiEW — — Vr QWCViETW ˜ ˜ fz lEtcRUWG|Wz } } QWFVEGcWEt“WCI ™ lifdtTG|Wz } } tp ‘WEUt“TRUW – – cWEt“WC ’tapRUiEW — — Vr QWCViETW ˜ ˜ CiTTWCCriddz ‡ ‘WEUt“TRUW – – tCGdWatUtRUW

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA gDSQd`VfeTXdRdPWcXHdFUSbfWEdIaCGY h xVbfTediWt y y xHTƒSQWdiWt y y  d•dQXcWUd‘XH d•dTUdSUddfx m m n PWEXVHeW o o {VwwXEWdtXVdDSƒWv `VfeTXdRdPWcXHdcWWwEv | €WHQT‚eSQW … … ‰TQD xVbfTediWt y y QDSQdfWEeHTbWE d•dTUdSUddfx m m TE iWtdŒ‰UWH m y m y X‘ xHTƒSQWdiWt y y xVbfTediWt y y ’ {T˜USQVHW œ œ X‘ PWEXVHeW o o bt xHTƒSQWdiWt y y «XdWUSbfWdVEdQXdHWeXHfv | d•dTUdSUddfx m m ˜WUWHSQWf {T˜USQVHW œ œ X‘ PWEXVHeW o o

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA gETRdaWfeUYdSdQXcYIdGVTbfXFdPDCH` h xWbfUediXt y y xIUƒTRXdiXt y y  d•dRYcXVd‘YI d•dUVdTVddfx m m n QXFYWIeX o o {WwwYFXdtYWdETƒXv aWfeUYdSdQXcYIdcXXwFv | €XIRU‚eTRX … … ‰URE xWbfUediXt y y RETRdfXFeIUbXF d•dUVdTVddfx m m UF iXtdŒ‰VXI m y m y Y‘ xIUƒTRXdiXt y y xWbfUediXt y y ’ {U˜VTRWIX œ œ Y‘ QXFYWIeX o o bt xIUƒTRXdiXt y y | d•dUVdTVddfx m m ˜XVXITRXf {U˜VTRWIX œ œ Y‘ QXFYWIeX o o ±d|dIXFYWIeXdFU˜VTRWIXdfUVcFd‰UREdTVdUfXVRURt¨dTFd‰XffdTFdTdcXt²

ÉÉÆÈÃÇÇÈÄÂÉÁÅÈÄÀ %6 98@532178)(&$'#4"!0 BA fDSQc`VedTXcRcPWbXHcFUSaeWEcIGCGY g wVaeTdchWs x x wHT‚SQWchWs x x ‰ ™”cQXbWUcXH ™”cTUcSUc™ew l l m PWEXVHdW n n c~XceXUwWHcUWWecQXcbWWrcScrHT‚SQWcbWscXHcSceXUwz `VedTXcRcPWbXHcbWWrEƒ ‘ •WHQT—dSQW š š žTQD wVaeTdchWs x x QDSQceWEdHTaWE ™”cTUcSUc™ew l l TE hWsc¡žUWH l x l x X wHT‚SQWchWs x x wVaeTdchWs x x § ¬TwUSQVHW ± ± X PWEXVHdW n n as wHT‚SQWchWs x x ÀXcWUSaeWcVEcQXcHWdXHeƒ ‘ ™”cTUcSUc™ew l l wWUWHSQWe ¬TwUSQVHW ± ± X PWEXVHdW n n

© 2022 https://shift-js.info 68 Wrapping Up (B5)

&0'Ç0%)É2!$#( %ÈÆ01ÅÄ Ã&Â"ÁÀ u@qƒheewE‡yt…‰ergdc)0&0XWUvT„'RP$ˆÃGi É2!$#9†ÁÀ7Ã6ˆ1543ÁV —d˜–6•”Æ’ Ž€}‘tw†Œt‰ƒqxrw† Œt~…p{u~‚†ˆ‡„o‹mzvy Š|yksj†qtihgfnel —ƒ˜™š•heeše‡y– ËÇ»µ}‹¹¸Ä·´º‰pƒqxr¨ °À§Š¶}¦£¬¢~…p¨°ÂÀ«¡z Ê Ÿ¬¢„¹¥„mzvyŠw ÌÌÌ ÕàÐãâäßÝÜÛáâÙØÖÔ×ÓÞÒÑÏÎÚÍ õôñóññôðîîëíèììíðéçîæêíïéåçò