Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OSS の脆弱性対応の舞台裏
Search
うたもく
December 19, 2025
2
1.4k
OSS の脆弱性対応の舞台裏
3-shake SRE Tech Talk #14 オンサイト での発表資料です。
https://3-shake.connpass.com/event/373259/
うたもく
December 19, 2025
Tweet
Share
More Decks by うたもく
See All by うたもく
オープンソースソフトウェアへの解像度🔬
utam0k
18
4.1k
CNCF Project の作者が考えている OSS の運営
utam0k
7
1.1k
Podman with WebAssembly
utam0k
2
1k
クラウドネイティブの基盤要素、コンテナの今と未来
utam0k
21
6.9k
Possibility of OCI Container Runtime with Rust
utam0k
3
1.5k
Container-related technologies supporting Gitpod
utam0k
1
1.3k
詳説 OCIコンテナランタイム youki@第15回 コンテナ技術の情報交換会
utam0k
5
2.2k
Rust 🤝 Container Runtime @ Rust.Tokyo 2021
utam0k
2
1.9k
「あれ、コンテナって何だっけ?」から生まれた Rust で書かれた コンテナランタイム youkiの話@ODC2021
utam0k
6
4.2k
Featured
See All Featured
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
150
Ruling the World: When Life Gets Gamed
codingconduct
0
170
Reality Check: Gamification 10 Years Later
codingconduct
0
2k
GraphQLとの向き合い方2022年版
quramy
50
14k
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
auna
0
78
Heart Work Chapter 1 - Part 1
lfama
PRO
5
35k
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
sarafernandez
1
1.3k
Stop Working from a Prison Cell
hatefulcrawdad
274
21k
Building a Modern Day E-commerce SEO Strategy
aleyda
45
8.8k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
128
55k
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
inesmontani
PRO
3
3.1k
svc-hook: hooking system calls on ARM64 by binary rewriting
retrage
2
160
Transcript
OSS の脆弱性対応の舞台裏 SRE Tech Talk # 14 Toru Komatsu(@utam 0
k) 1
3 -shake 技術顧問 OSS Activities Maintainer: youki-dev/youki opencontainers/runtime-spec Reviewer: Kubernetes
SIG-Scheduling containerd/runwasi Community: CNCF Ambassador, CNCJ Board Member @utam0k Toru Komatsu 2
202511݄7 CVE- 202 5 - 31 1 3 3 /
7 . 3 High(CVSS v 4 ) ‣maskedPaths 実装における競合状態 CVE- 202 5 - 52 5 6 5 / 7 . 3 High(CVSS v 4 ) ‣/dev/console のマウント初期化時の競合 CVE- 202 5 - 52 8 8 1 / 7 . 3 High(CVSS v 4 ) ‣共有マウントを利 用 した /proc への書き込みリダイレクトと LSM 回避 3
GitHub Ͱϗετ͞Ε͍ͯΔ OSS ͷ੬ऑੑରԠ 4 あくまでも 一 例 1 .
脆弱性について報告を受ける 2 . 脆弱性について確認 3 . Security Advisoryの作成 & 関係者を招待 4 . 関係者で議論を 行 い、脆弱性の概要と CVSS などのスコアを設定 5 . CVE をリクエストを 行 い、取得 6 . パッチの作成とレビュー 7 . パッチをマージし、Security Advisory を公開
1 . 脆弱性について報告を受ける 2 . 脆弱性について確認 3 . Security Advisoryの作成
& 関係者を招待 4 . 関係者で議論を 行 い、脆弱性の概要と CVSS などのスコアを設定 5 . CVE をリクエストを 行 い、取得 6 . パッチの作成とレビュー 7 . パッチをマージし、Security Advisory を公開 GitHub Ͱϗετ͞Ε͍ͯΔ OSS ͷ੬ऑੑରԠ 5 メールなどでのやりとり
GitHub ͷ Security Advisor https://github.com/youki-dev/youki/security/advisories/GHSA-4g74-7cff-xcv8 6
GitHub ͷ Security Advisor https://github.com/youki-dev/youki/security/advisories/GHSA-4g74-7cff-xcv8 7 CVSS CVE
Overview Version
舞台裏 表には 見 えない機能 ࣮͍Ζ͍Ζͳػೳ͕͋Δ ‣ٞ ‣ίϥϘϨʔλͷট 8
ೖྗ͖߲͢ΛຒΊΔͱείΞ͕ͰΔ 9 舞台裏 CVSS
舞台裏 CVE ID Security Advisoryからボタンを押すだけで CVE を取得できる 1 0
ちゃんと 見 てくれているので普通に Reject されることも 1 1 舞台裏 CVE ID
舞台裏 パッチの作成とレビュー 方 法 GitHub には temporary private fork という専
用 の機能がある ‣Org に private fork が作成される ‣関連している 人 のみが 見 られる ‣Pull Request のマージと Security Advisoryが連携する ‣マージするといきなり main のリポジトリに push される 1 2
舞台裏 パッチの作成とレビュー 方 法 難しさ: GitHub Actions が利 用 不可
🙈 実際にマージして CI が落ちてリリースできなかったことがある 1 3
舞台裏 公開 ‣Dependabot によるアラート ‣CVE ページが更新される • たぶん、GitHub 側が Security
Advisoryを読んで更新していそう 1 4 https://docs.github.com/en/code-security/security-advisories/working-with-repository-security-advisories/publishing-a-repository-security-advisory
GitHub Ͱϗετ͞Ε͍ͯΔ OSS ͷ੬ऑੑରԠ 1 . 脆弱性について報告を受ける 2 . 脆弱性について確認
3 . Security Advisoryの作成 & 関係者を招待 4 . 関係者で議論を 行 い、脆弱性の概要と CVSS などのスコアを設定 5 . CVE をリクエストを 行 い、取得 6 . パッチの作成とレビュー 7 . パッチをマージし、Security Advisory を公開 1 5 あくまでも 一 例
おしまい 16
utam0k
ryanjones
codingconduct
quramy
auna
lfama
sarafernandez
hatefulcrawdad
aleyda
aki_iinuma
inesmontani
retrage
