0 © Hitachi, Ltd. 2024. All rights reserved. Open Source Summit EU 参加レポート 2024/10/3 日立製作所 研究開発グループ 川名のん OSSセキュリティMeetup

1 © Hitachi, Ltd. 2024. All rights reserved. Open Source Summit Europe 2024 2024/9/16-18 ＠ウィーン/オーストリア 会場：オーストリアセンターウィーン ◆ Open Source Summitとは オープンソース開発者、技術者が情報を共有し、持続可能なオープン ソースエコシステムを確保するための主要なイベント OSSに関連したコロケーションカンファレンスも開催され、今回は Secure Open Source Software (SOSS) Community Day Europeが19日に開催された ◆ ちなみに… ウィーンでは9/12～15に大雨洪水警報が出ており、ドナウ川が氾濫 する、電車が通行止めになる、などの被害が出ていた 16日までは気温がかなり低く、現地の人も「こんな天気初めて」という ほどの荒天だった

2 © Hitachi, Ltd. 2024. All rights reserved. Open Source Summit Europe 2024 主要なカテゴリと発表件数 0 5 10 15 20 25 ContainerCon CloudOpen Digital Trust Open AI + Data Forum SupplyChainSecurityCon OSPOCon Zephyr Open Source Leadership Summit ※Digital Trust、Zephyrは新設(OSSEU2023にはなかった)カテゴリ

3 © Hitachi, Ltd. 2024. All rights reserved. Keynote: Welcome & Opening Remarks ◆ 発表者： Gabriele Columbro (Linux Foundation Europe) Nandini Ramani (AWS) Daniela Barbosa (The Linux Foundation) Arpit Joshipura (The Linux Foundation) ◆ 概要：以下の発足を発表 ・Open search software foundation：オープンソースとして開発されているOpenSearchを推進する団体 ・LF Decentralized Trust：分散型テクノロジーシステムを形成するための組織 LF Decentralized Trustに付随して、新しいプロジェクトも発表された ・Lockness：鍵管理やデジタル署名プロトコルのためのオープンソースエコシステム ・Hiero：独自のメカニズムを活用した堅牢なオープンソース分散型台帳

4 © Hitachi, Ltd. 2024. All rights reserved. Keynote: Linus Torvalds in Conversation with Dirk Hohndel ◆ 発表者： Linus Torvalds Dirk Hohndel ◆ 概要：Linus Torvaldsと、その友人でオープンソースプログラムオフィス責任者のDirk Hohndelによる(いつもの)対談 ・Linux6.11のリリース、Linuxプロジェクトの開発状況などの最新トピック ・Linus Torvaldsは1991年のリリース以降、今でもコアな開発を行っている →意味・興味があるものを見つけて、何十年も費やして続けることが重要。最初に周りと少し違うことをやるのも大事 ◆ 動画URL https://www.youtube.com/watch?v=OM_8UOPFpqE&list=PLbzoR- pLrL6pwSxJqsghZ1XVNb7pngzJv&index=18

5 © Hitachi, Ltd. 2024. All rights reserved. Keynote: Securing the Software Commons: Standards, Automation, and AI for a Resilient Open Source Future ◆ 発表者：Abhishek Arya (Google) ◆ 概要：「標準化」「自動化」「AI」の3つの要素が、オープンソースのセキュリティに大きな変化をもたらす 標準化 SLSAフレームワーク、OSV脆弱性スキーマ(Googleが開発している「OSV-Scanner」)を成功事例として紹介。これ らの標準化によりオープンソースの脆弱性を簡単に特定、対処できるようになる 自動化 オープンソース開発者が日常の手作業を減らすためにも自動化が必要。統合プラットフォームによって、さまざまなセキュリ ティツールを簡単に統合できるようになる AI 脆弱性の分析やパッチ当てなどに活用できる。セキュリティを強化する可能性があるが、うまく使うためには現在のAIの限 界を理解しないといけない。プロンプトやトレーニング、検証によってAIの精度を高めていくことが大事 →オープンソースのセキュリティの未来は明るい！ 今回の3つの要素を活用することで、開発者の負担を減らしながら、 より安全なオープンソースの構築ができるようになる

6 © Hitachi, Ltd. 2024. All rights reserved. Application Security is a Community Effort ◆ 発表者：Fernando Diaz (GitLab) ◆ 概要：OSSセキュリティは個人で解決する問題ではなく、コミュニティ全体の取り組みが必要 オープンソースプロジェクトの利点 ・透明性：コードがオープンなため、脆弱性の早期発見と解決を促進する。例えば、XZ Utilsの脆弱性ではコミュニティの 協力によって問題が迅速に特定された ・コスト削減：既存のオープンソースを利用することで開発コストやメンテナンス負担を軽減できる オープンソースプロジェクト・コミュニティの課題 ・活動：オープンソースコミュニティの活動を維持することは難しく、多くのプロジェクトが時間とともに活動を停止している ・セキュリティリスク：OSSの広範的な使用により、脆弱性が発見された場合の影響が大きい。さらに、常に進化する脅威 に対応しないといけない 解決策 ・教育とトレーニング：安全なコーディングに準拠する。OWASPのJuice Shopなどを活用して脆弱性について学ぶ。 フォーラム、カンファレンスへの参加で、セキュリティ問題への理解を深める ・定期的な監査と脅威モデリング：定期的な監査で潜在的なリスクを特定し、全体的なセキュリティを向上させる

7 © Hitachi, Ltd. 2024. All rights reserved. Enhancing Artifact Security with GitHub’s Build Provenance and Minder ◆ 発表者：Fredrik Skogman (GitHub)、Radoslav Dimitrov (Stacklok) ◆ 概要：SLSAのGitHub用APIでprovenanceを生成し、Minderでポリシーを適用するデモの実演紹介 ・TUF、SLSA、sigstoreを使ったシステム構成でprovenanceを生成するデモ ・署名されたからといって必ずしも安全ではないが、セキュリティリスクを軽減する ・Minder(by Stacklok)はSDLC全体のリスクを抑えるためのポリシーを提供し、ポリシーへの準拠を証明するツール。 ユーザーはリポジトリを登録し、ポリシーを定義することで、リポジトリと成果物が一貫して安全に構成されるようにすること ができる

8 © Hitachi, Ltd. 2024. All rights reserved. Planning for Retirement: How Can We Prepare for Software’s End-of- Life/End-of-Support Date? ◆ 発表者：Victoria Ontiveros (CISA)、Justin Murphy (DHS/CISA) ◆ 概要：製品寿命(End of Life, EOL)とサポート終了(End of Support, EOS)に関する問題提起 EOL/EOSの重要性 ・EOL/EOSに達するとセキュリティリスクが増大するため、古いソフトウェアやハードウェアの使用はリスクを伴う 現状の課題 ・EOL/EOSの定義が曖昧で、オープンソースソフトウェアにおいては一貫した基準がない ・大規模なシステムだと、すべてのコンポーネントのEOL/EOS情報を追跡するのが困難 解決策 ・EOL/EOSの明確な定義を作成し、製品とOSSの両方に適用可能なものにする →Open EOX：EOL/EOS情報を機械可読形式で標準化し、共有するためのスキーマを開発しているプロジェクト ・ソフトウェアのサプライチェーンに関する情報を明確にし、既存のツール(SBOM、VEX、CSAなど)を活用する

9 © Hitachi, Ltd. 2024. All rights reserved. We Know Security but How Do We Secure GenAI End-to-End? ◆ 発表者：Mihai Maruseac (Google) ◆ 概要：AI/MLのセキュリティリスクは従来のソフトウェアと同様に存在し、従来のセキュリティ対策を適用可能 AIのセキュリティリスク プロンプトインジェクション：従来のSQLインジェクションに似ている データ漏洩：従来のソフトウェアと同様に頻繁に発生 マルウェア：モデルにマルウェアを隠すことが可能 リモートコード実行：強力な操作を含むモデルが攻撃対象になる セキュリティ対策 SLSA for Models：モデルのトレーニングプロセス全体を保護するためのフレームワーク Model cards：モデルのトレーニングデータやライセンス情報を提供 AI BOM：モデルの依存関係を表示

10 © Hitachi, Ltd. 2024. All rights reserved. Open Source Summit Europe 2024 ◆ 所感 ・セッションのジャンルが広くて多いため様々なことを知れるが、ピンポイントで聞きたい・知りたいと思う内容に出会うのが 難しい 特にAI系は生成AIのチュートリアルのような内容が多く、新規性をあまり感じられなかった講演も… →聞きたい内容が明確なら、そのジャンルに特化したコロケーションカンファレンスの方がいいかも ・生成AI系の発表は人が集まりやすい傾向にある デジタルトラストもそこそこ人が集まっていて関心が高そう（もっと別のカンファレンスがあったのでは…？とも思った） ・ウィーン最高でした！町がコンパクトで観光地がまとまってるし、地下鉄も安心して乗れる治安の良さ ◆ 来年も開催！ ホームページでOpen Source Summit Europe 2025の開催が発表されていた 2025/8/25-27 ＠アムステルダム、オランダ