Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpenSSF WGs 紹介 : Securing Software Repositories...

Avatar for Linux Foundation Japan Linux Foundation Japan
PRO
March 07, 2023
Technology
0
390

OpenSSF WGs 紹介 : Securing Software Repositories / Security Tooling

サイボウズ株式会社 吉川拓哉氏・竹村太一氏
2023年2月28日開催 第1回 OSSセキュリティMeetup 講演資料
Avatar for Linux Foundation Japan

Linux Foundation Japan
PRO

March 07, 2023
Tweet

More Decks by Linux Foundation Japan

See All by Linux Foundation Japan
Introducing the OpenSSF SBOM Everyware SIG (2025/1-2025/4)
Avatar for Linux Foundation Japan lfj
PRO
0
130
CRA (Cyber Resilience Act) 第13条と第14条におけるOSSスチュワードの義務
Avatar for Linux Foundation Japan lfj
PRO
0
130
CRA (Cyber Resilience Act) 概要
Avatar for Linux Foundation Japan lfj
PRO
0
150
OpenSSF Scorecardの紹介
Avatar for Linux Foundation Japan lfj
PRO
1
220
SOSS Fusion セッション報告
Avatar for Linux Foundation Japan lfj
PRO
0
91
SOSS Community Day Japan イベントレポート
Avatar for Linux Foundation Japan lfj
PRO
0
90
Open Source Summit Japan 2024 / Japan SBOM Summit 2024 Wrap up
Avatar for Linux Foundation Japan lfj
PRO
0
90
SOSS Community Day EUROPE イベントレポート
Avatar for Linux Foundation Japan lfj
PRO
0
65
OpenSSF 10分クッキング ー 10分でOpenSSFを解説
Avatar for Linux Foundation Japan lfj
PRO
0
73

Other Decks in Technology

See All in Technology
Agentic Workflowという選択肢を考える
Avatar for takuya kikuchi tkikuchi1002
1
470
Amazon ECS & AWS Fargate 運用アーキテクチャ2025 / Amazon ECS and AWS Fargate Ops Architecture 2025
Avatar for iselegant iselegant
16
5.3k
監視のこれまでとこれから/sakura monitoring seminar 2025
Avatar for FUJIWARA Shunichiro fujiwara3
11
3.8k
登壇ネタの見つけ方 / How to find talk topics
Avatar for pinkumohikan pinkumohikan
3
350
Windows 11 で AWS Documentation MCP Server 接続実践/practical-aws-documentation-mcp-server-connection-on-windows-11
Avatar for emi emiki
0
900
強化されたAmazon Location Serviceによる新機能と開発者体験
Avatar for Yasunori Kirimoto dayjournal
2
190
本当に使える?AutoUpgrade の新機能を実践検証してみた
Avatar for oracle4engineer oracle4engineer
PRO
1
140
生成AIで小説を書くためにプロンプトの制約や原則について学ぶ / prompt-engineering-for-ai-fiction
Avatar for nwiizo nwiizo
3
710
Witchcraft for Memory
Avatar for pocke pocke
1
210
Liquid Glass革新とSwiftUI/UIKit進化
Avatar for Fumiya Sakai fumiyasac0921
0
170
米国国防総省のDevSecOpsライフサイクルをAWSのセキュリティサービスとOSSで実現
Avatar for Shun Yoshie syoshie
2
990
「Chatwork」の認証基盤の移行とログ活用によるプロダクト改善
Avatar for kubell kubell_hr
1
110

Featured

See All Featured
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
41
7.3k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
507
140k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
32
1k
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
45
7.4k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
35
2.3k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
29
1.8k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
29
2.7k
Scaling GitHub
Avatar for Zach Holman holman
459
140k
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
48
2.8k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
110k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
228
22k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
22k

Transcript

  1. OpenSSF WGs 紹介 Securing Software Repositories, Security Tooling 2023年2月28日 サイボウズ株式会社

    吉川 拓哉、竹村 太一

  2. 自己紹介(吉川について) ▌cybozu.com クラウド基盤の運用を担当(運用本部のマネージャー) ▌クラウドセキュリティに関して監査業務なども担当 ▌前職では Linux カーネル開発なども

  3. 自己紹介(竹村について) ▌Neco チームで Kubernetes の開発と運用を担当 ▌22新卒 ▌学生時代は TEE に関する研究をしていました

  4. サイボウズと OpenSSF

  5. 今回実施した OpenSSF WGs 調査 ▌OpenSSF の年次レポートで概要調査 ▌ミーティングのアジェンダなどで活動状況を確認 ▌評価レポートや参考文献などを調査

  6. 【WG】 Security Tooling ▌Git Repo: github.com/ossf/wg-security-tooling ▌Group Lead: Josh Bressers

    ▌Group Membership: SBOM Everywhere group に15名

  7. アクティブな活動 ▌SBOM 関連の活動に集中 ▌22年 “SBOM Everywhere Special Interest Group (SIG)”

    立ち上げ ▌SPDX Python library へのファンディングを9月に承認 ◼ SBOM規格 ISO/IEC 5962:2021 に限らずツールやライブラリ開発も

  8. OpenSSF としての貢献ポイント ▌ライブラリ開発はコミュニティのボランティアが長年担ってきた ▌SPDX 最新版への対応やコードのメンテナンス性の改善が課題 ▌資金援助を通じて必要なスキルをもった人が貢献できるように

  9. 具体的な WG の活動の様子 ▌ML のアーカイブから月2回程のミーティングのアジェンダが辿れる ◼ SBOM Everywhere の目標設定 ◼

    ファンディング先についての提案 ◼ SBOM 関連ツールの評価作成 Evaluation of OSS SBOM Generators (EARLY DRAFT 編集中)

  10. Security Tooling に参加するなら ▌自社で SBOM のベストプラクティスを試してみる ▌ツールの課題などを洗い出し ▌WG ミーティングに参加してフィードバック ▌SPDX

    Python library の開発に参加 (ベストプラクティスについては後ほど)

  11. 【WG】 Securing Software Repositories ▌Git Repo: github.com/ossf/wg-securing-software-repos ▌Group Lead: Dustin

    Ingram, Google ▌Group Membership: 20~40名

  12. アクティブな活動 ▌OSS リポジトリ、レジストリのメンテナのために活動 ▌メンテナが問題やリスク・脅威について共有したり議論する場 Forum を提供 ◼ 22年は重要リポのセキュリティギャップや改善予定を調査した ◼ Sigstoreのようなセキュリティ技術について

    RFC 議論や提案も ⇒ PyPI の 2FA mandate, npm で Sigstore を使うなどの RFC 採択

  13. OpenSSFとしての貢献ポイント ▌重要な OpenSSF 技術の適用推進 ▌クリティカルなリポジトリでのベストプラクティスの遂行 ◼ 技術的ガイダンス、議論、ファンディングという形で貢献する

  14. Securing Software Repositories に参加するなら ▌日本からのコミットが多いリポで何か課題がないか考える ▌WG で直接扱えない小規模コミュニティへの対応

  15. 【おまけ】 SBOMs 参考資料の紹介 ▌ How to Generate an SBOM with

    Free Open Source Tools, by Keith Zantow https://anchore.com/sbom/how-to-generate-an-sbom-with-free-open- source-tools/ ▌ 8 top SBOM tools to consider, by Steven J. Vaughan-Nichols https://www.csoonline.com/article/3667483/8-top-sbom-tools-to- consider.html

  16. SBOMs ユーザー3分類 ▌ソフトウェア生産者 ◼ 提供ソフトウェアのビルドやメンテナンスのために ▌ソフトウェア調達者 ◼ 購入前の保証や価格交渉、事前の実装計画などに ▌ソフトウェアオペレーター ◼

    脆弱性管理や資産管理、ライセンスやコンプラチェックなどリスク管理

  17. SBOM 対応の推奨 ▌CI/CD パイプラインに組み込む ◼ 参考:GitHub Actions の sbom-action と

    scan-action ▌暗号化された署名と検証の導入 ▌Gartner 社のツールに関する推奨 ◼ ビルドプロセスでソースとイメージからの SBOMs 生成対応 ◼ 編集可能で可読なフォーマットへの対応 ◼ フォーマット変換や他ツールやAPIへの対応

  18. サイボウズの対応(検討中) ▌Kubernetes 基盤への移行後は SBOMs 対応しやすいかも ◼ CI/CD パイプラインに組み込んで共通の仕組みでスキャンも可能かも ◼ 現状は開発チームのリスト管理方法は統一されていない

    ◼ 一部チームで GitHub Actions での生成を試したりはしている ▌サイボウズが公開した OSS のメンテでは WG のベストプラクティスを参考に