Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpenSSF WGs 紹介 : Securing Software Repositories...

OpenSSF WGs 紹介 : Securing Software Repositories / Security Tooling

サイボウズ株式会社 吉川拓哉氏・竹村太一氏
2023年2月28日開催 第1回 OSSセキュリティMeetup 講演資料

Linux Foundation Japan

March 07, 2023
Tweet

More Decks by Linux Foundation Japan

Other Decks in Technology

Transcript

  1. アクティブな活動 ▌SBOM 関連の活動に集中 ▌22年 “SBOM Everywhere Special Interest Group (SIG)”

    立ち上げ ▌SPDX Python library へのファンディングを9月に承認 ◼ SBOM規格 ISO/IEC 5962:2021 に限らずツールやライブラリ開発も
  2. 具体的な WG の活動の様子 ▌ML のアーカイブから月2回程のミーティングのアジェンダが辿れる ◼ SBOM Everywhere の目標設定 ◼

    ファンディング先についての提案 ◼ SBOM 関連ツールの評価作成 Evaluation of OSS SBOM Generators (EARLY DRAFT 編集中)
  3. 【おまけ】 SBOMs 参考資料の紹介 ▌ How to Generate an SBOM with

    Free Open Source Tools, by Keith Zantow https://anchore.com/sbom/how-to-generate-an-sbom-with-free-open- source-tools/ ▌ 8 top SBOM tools to consider, by Steven J. Vaughan-Nichols https://www.csoonline.com/article/3667483/8-top-sbom-tools-to- consider.html
  4. SBOM 対応の推奨 ▌CI/CD パイプラインに組み込む ◼ 参考:GitHub Actions の sbom-action と

    scan-action ▌暗号化された署名と検証の導入 ▌Gartner 社のツールに関する推奨 ◼ ビルドプロセスでソースとイメージからの SBOMs 生成対応 ◼ 編集可能で可読なフォーマットへの対応 ◼ フォーマット変換や他ツールやAPIへの対応