Slide 13
Slide 13 text
■ サプライチェーンセキュリティ向上のための種々プロジェクトについて広く紹介するパネルディスカッション
● このパネルディスカッションは OpenSSF の Supply Chain Integrity WG が主体となって開催
■ SLSA
● 開発者とビルドプラットフォーム運用者に対する要求を定義。各工程の証跡として provenance の生成を要求
● Ver.1 ではビルドプロセスのみを対象とし、Level 1~3 を定義
■ S2C2F
● OSS をどう安全に利用するかについてのガイド。脆弱性を適時・適切に報告する方法についても記載
● 現在依存性管理について注力
■ Gittuf
● Git をよりセキュアに使用するためのセキュリティレイヤ
● 安全にアップデートを提供するための基準・実装である TUF から思想を導入している
■ GUAC
● サプライチェーンセキュリティに関する様々なメタデータを意味付け・可視化するためのツール
■ FRSCA
● セキュアな CI パイプラインのためのリファレンスアーキテクチャ
■ xz-utils 事件に関して
● 完璧ではないが対策を行い、対策の領域を広げていくべき(シートベルトをしても死者は出るが、しなくてよいわけではない)
● (MS の Jay White) 空挺作戦では他の人が装備をチェックする。自分ではなく、他人がチェックするということが重要で、OSS も同じ。
例えば Log4j のメンテナは一人しかいなかった。
■ 会場から:重要インフラの安全性を高めるためにはどこに注力すべきか。どういったツールがあるか
● データに注力すべき。どのツールかはどこに課題があるか・どこに取り組むべきかがユーザーによって異なるので、場合による
● GUAC で視点をまとめるのがよいのではないか
Panel Discussion: Improving Supply Chain Integrity with OpenSSF
Technologies
Speakers : Arnaud Le Hors, IBM; Jay White, Microsoft; Isaac Hepworth, Google; Michael Lieberman, Kusari; Marcela Melara, Intel
Corporation