Introducing the OpenSSF SBOM Everyware SIG (2025/1-2025/4)

Transcript

1. Introducing the OpenSSF SBOM Everywhere SIG (2025/1-2025/4) May 20, 2025

   Fujitsu Ltd. Akihiko Takahashi 1

2. 自己紹介 ⚫ Account ⚫ Qiita : @flying-pan ⚫ LinkedIn :

   https://www.linkedin.com/in/ak ihiko-takahashi-26b1a52ab/ ⚫ Job Responsibilities ⚫ Developer of Linux Distributions for Edge Computing ⚫ Infrastructure Engineer for Cloud 2 富士通株式会社 高橋 明彦 ⚫ Community ⚫ OpenSSF SBOM Everywhere SIG ⚫ Japan Technical Jamboree ⚫ yocto project ⚫ OpenChain Japan WG ⚫ Technical Background ⚫ Hobby ⚫ Mini 4WD ⚫ Skiing ⚫ Jazz

3. アジェンダ ⚫SBOM Everywhere SIGの概要 ⚫トピック紹介 ⚫さいごに 3

4. SBOM Everywhere SIGの概要 4

5. SBOM Everywhere SIGとは SBOM-Everywhere プロジェクトは、SBOM ツールのカ タログ 作成 と、SBOM の使用開始に役立つベスト

   プラ クティスのド キュメント化に重点的に取り組んでいます。 [1] 5 [1] OpenSSF 「2024アニュアルレポート」p25 https://www.linuxfoundation.jp/wp-content/uploads/2025/02/OpenSSF_Annual_Report_2024_jp.pdf [2] OpenSSF Working Groups https://openssf.org/community/openssf-working-groups/ [2]

6. 開催概要 1/2 ⚫開催日 ⚫隔週火曜 11:05am-11:55am EST (日本時間24:05-24:55(サマータイム期間)) ⚫ファシリテーター ⚫Josh Bressers氏

   (Anchore) ⚫Kate Stewart氏 (Linux Foundation) ⚫Josh氏欠席時にKate氏がファシリテートを行う。両者欠席時、会は キャンセル。 ⚫参加人数 ⚫約10～20人(トピックにより変動) 6

7. 開催概要 2/2 ⚫OSSF SBOM Everywhere SIG in Github ⚫https://github.com/ossf/sbom-everywhere?tab=readme-ov-file ⚫議事録

   ⚫https://docs.google.com/document/d/1wz1mzTkRUPmGtaXAe05hL9agXW5uZ07mdhTf CR1RWQo/edit?tab=t.0 (2025年) ⚫https://docs.google.com/document/d/193ODRga1F49WKPYYR79SNi9b27mChBqpOf5ii WJcMso/edit?tab=t.0#heading=h.xqitfd6hs1gc (2024年) 7

8. 参加者所属企業/組織一覧 (2024年～2025年4月) 8 カテゴリ 組織名 政府、国際機構 CISA, MITRE, BSI, ISO

   研究機関、大学 IEEE, New York University, Indiana University, München University OSSコミュニティ Linux Foundation, OpenSSF, CHAOSS, AlektoMetis, The Modem Lisa, OWASP, CPAN Sec, RTEMS Project, Python Software Foundation, Ruby Central セキュリティ系企業 Anchore, Jfrog, Snyk, Stacklok, Kusari, Interlynk, Source Auditor 軍事・航空宇宙系企業 Lockheed Martin, Honeywell, Defense Unicorns 一般企業 Fujitsu, Google, Red Hat, Oracle, IBM, AMD, Sopra Steria, Karakun, Ericsson, Resilience, TNG Technology Consulting, Bitergia, Edvina AB, Morgan Stanley, BCG

9. トピック紹介 9

10. トピック一覧 (2025/1-2025/4) 10 Date (EST) Tittle Type 2025-04-22 Vulnconの紹介 (Chris

    Robinson氏 (OpenSSF)) 2025-04-08 Show me what you‘ve got: Turning SBOMs into Actions (Georg Link氏 (Bitergia / CHAOSS)) 2025-03-25 CRA Report (CRob氏 (OpenSSF)) 2025-03-11 CRob on the recent policy discussions in Washington DC (Crob氏 (OpenSSF)) 2025-02-25 SBOM-Catalog (Marius Biebel氏 (hm.edu)) SBOM Generation Reference Implementations (Ian Dunbar-Hall氏 (Lockheed Martin)) 2025-02-11 SBOM-Catalog (Marius Biebel氏 (hm.edu)) FOSDEM observations 2025-01-28 SBOM-Catalog (Marius Biebel氏 (hm.edu)) BSI TR-03183-2 (Michael Schuster氏 (BSI Germany)) 2025-01-14 SBOM-Catalog (Marius Biebel氏 (hm.edu)) Acceptability and Accuracy with Software Bills of Material Data and Visualizations (Jean Camp氏, Xinyao Ma氏 (Indiana University)) 紹介 CRA 学術研究 定例活動 定例活動 定例活動 定例活動 カンファレンス 紹介 CRA カンファレンス 紹介 SBOM コミュニティ紹介 カンファレンス 紹介 紹介 紹介 紹介

11. Acceptability and Accuracy with Software Bills of Material Data and

    Visualizations (Jean Camp氏, Xinyao Ma氏 (Indiana University)) 1/2 ⚫概要 ⚫SBOM(SPDX, CycloneDX)可視化ツールの比較研究。112名の技術者を対象とした調 査の研究報告。 ⚫発表スライド ⚫https://drive.google.com/file/ d/1oKaBnJZlia32rYYSRCj_Fc0 hxYlZy9A_/view ⚫各ツールの比較結果 : 10p-14p 11 2025-01-14

12. Acceptability and Accuracy with Software Bills of Material Data and

    Visualizations (Jean Camp氏, Xinyao Ma氏 (Indiana University)) 2/2 ⚫比較ツール一覧と研究結果 ⚫ItDepends ⚫ タスク完了率と精度で最良の結果。学習コストが最も低い。 ⚫DeepBits ⚫ AIを活用したモニタリング機能があるため、大規模運用に最適。 ⚫JSON + 独自実装 ⚫ 複雑なタスクで劣る。 ⚫観察された課題: ⚫JSONフォーマットは参加者にとってストレスが多い。 ⚫一部の脆弱性表示の違いがツール間で確認され、統一されたガイドラインが不 足している。 12

13. SBOM Catalog Let’s DEMO ⚫Reference ⚫SBOM Catalog ⚫ https://sbom-catalog.openssf.org/ ⚫SBOM関連ツールの一覧情報が絵でわかる！SBOM-Catalogの紹介

    ⚫ https://qiita.com/flying-pan/items/2f48237e144e783f9dbc 13 不定期

14. CRA Report (CRob氏 (OpenSSF)) 概要 1/3 ⚫概要 ⚫CRA（サイバーレジリエンス法）の認知度と準備状況の共有 ⚫レポートトリンク ⚫和訳:無知と不確実性

    ～オープンソースにおけるサイバー・レジリエンス法対応 準備の厳しい現実～ ⚫https://www.linuxfoundation.org/hubfs/ LF%20Research/lfr_cra_readiness_ 031725a.pdf?hsLang=en ⚫アンケート情報 ⚫調査実施期間：2025年1月 ⚫人数:685名 (うち製造業者:180～205名, OSS stewards(管理者):34名, OSS開発者:126名) 14 2025-03-25

15. CRA Report (CRob氏 (OpenSSF)) レポート内容抜粋 2/3 15 項目 回答 CRAの認知度

    ・回答者の62％が「まったく知らない」or「ほとんど知 らない」 OSS stewardsの対応状況 ・32％がSBOMを作成 ・59％は依存関係の自動追跡ツールを使用 インシデント対応体制 ・OSS stewardsの62％が、迅速な対応のための専任人員や リソースを保有していない CRAの価格影響 ・CRAによって平均6％の価格上昇が見込まれる中、製造 業者の53％が、価格への影響を現在も評価中 CRA対応に必要な支援 （OSS stewards） ・財政的支援：50％ ・法的ガイダンス：47％ ・技術的リソース：44％

16. CRA Report (CRob氏 (OpenSSF)) 会話内容紹介 3/3 ⚫ OpenSSFの近況 ⚫重要な業界トピック（SBOM, CVE,

    CVSS, etc…）を扱い、SBOM管理をあらゆる場 所で可能にすることを推進中 ⚫オープンソースツールを用いたSBOM作成のリファレンスドキュメントを公開予 定 ⚫ CRA対応の観点から、長期にわたるセキュリティアップデートを提供しつ づけることが非常に重要 ⚫ Kate氏がZephyrのCRA対応事例を紹介 ⚫Zephyrが LTS（Long Term Support）を5年間提供することを決定 ⚫ZephyrはNVDと協業を実施 ⚫Red HatやCanonical、Wind Riverなどの主要ベンダーがZephyrへの関心を示してい る → CRAに対応しているOSSのモデルケースになる可能性 16

17. BSI TR-03183-2 (Michael Schuster氏 (BSI Germany)) 概要 1/6 ⚫概要 ⚫ドイツ

    連邦セキュリティ室 (BSI)が出している CRAガイドライン(製造業者と製品)の2章(SBOM) についての紹介 ⚫ドキュメントリンク ⚫ https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/ Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sort iert/tr03183/TR-03183_node.html ⚫ Part 2: Software Bill of Materials (SBOM)参照 ⚫ドキュメントの位置づけ ⚫このガイドラインはあくまで、BSIから出されている”信頼できる推奨事項”とい うものであり、強制力は持たない。 ⚫CRA(Cyber Resilience Act)に準拠するための要件を保証するものではない。 17 2025-01-28

18. BSI TR-03183-2 (Michael Schuster氏 (BSI Germany)) 概要 2/6 ⚫ガイドラインの目的：サプライチェーンセキュリティを向上するた めの共通基盤を確立

    ⚫異なるステークホルダーとの議論の基盤を提供 ⚫標準化プロセスに関与していないステークホルダーへもリーチ ⚫CRAに関心を持っていない関係者への啓蒙 ⚫製造業者に向けたより良いガイダンスの提供 ⚫標準化のためのフィードバックの収集 18

19. BSI TR-03183-2 (Michael Schuster氏 (BSI Germany)) 内容紹介 3/6 ⚫ SBOMの依存関係の深さについて

    ⚫ CRAの要件としては、製品のトップレベル依存関係をカバーする必要あり ⚫ BSIの見解としては、トップレベルのSBOMだけでは脆弱性管理に不十分（理由：脆弱性 が下位レベルの依存関係に存在している場合、トップレベルSBOMではそれを検出できな いため） ↓ ⚫ 標準化の作業は現在進行中であり、 EU欧州委員会が調整を進めている。 標準化の方向性によって、SBOMの 要件も調整される可能性がある。 (深さについてBSI内部で議論中) 19 脆弱性 トップレベルSBOMでは脆弱性が検出できない例[*3] [*3] 出典：BSI TR-03183-2 version 2.0.0 (Figure 1: Top-level SBOMより一部改変)

20. BSI TR-03183-2 (Michael Schuster氏 (BSI Germany)) 内容紹介 4/6 20 ⚫NTIA

    The Minimum Elements for an SBOMからTR-03183-2で 要素の追加提案があった。 NTIA: The Minimum Elements for an SBOM (2021) Additional Data Fields in TR-03183-2 version 2.0.0 ⚫ Required data fields / 必須データ項目 ⚫ Filename of the component / コンポーネントファイル名 ⚫ Associated licences / 使用許諾ライセンス ⚫ Hash value of the deployable component / SHA-512ハッシュ値 ⚫ Executable property / 実行可能可否 ⚫ Archive property / アーカイブかどうか ⚫ Structured property / メタデータがあるかどうか ⚫ Additional data fields / 推奨データ項目 ⚫ SBOM-URI/ SBOM自体のURI ⚫ Source code URI / ソースコードリポジトリURLor該当バージョンのURL ⚫ URI of the deployable form of the component / 実行可能な形式（e.g. ダウン ロードURL） ⚫ Concluded licences / ライセンシー（コンポーネント利用者）が締結したライセ ンス ⚫ Optional data fields / 任意データ項目 ⚫ Declared licences / ライセンサー（作成者）が宣言したライセンス ⚫ Hash value of the source code of the component / ソースコードのハッシュ値

21. BSI TR-03183-2 (Michael Schuster氏 (BSI Germany)) 内容紹介 5/6 ⚫ドイツの市場監視当局（CIA）は未決定 ⚫ドイツでは、誰が市場監視当局（CIA）になるか決定していない。(2025-01-

    18時点) ⚫将来的にBSIが市場監視当局になる可能性もある。 ⚫オープンソースプロジェクトとしての扱い ⚫商用目的のオープンソースプロジェクト：CRA準拠。SBOM提供義務有り ⚫非商用のオープンソースプロジェクト ：SBOM提供義務無し ⚫オープンソース開発者への影響 ⚫製造業者がSBOMを正しく作成しない場合、規制によって罰則が課される可能 性がある（Cyber Resilience Act 第64条）。 21

22. BSI TR-03183-2 (Michael Schuster氏 (BSI Germany)) QA 6/6 ⚫質問: ENISAやBSIがTR-03183-2をEUレベルに持ち込むことに

    興味があるか？ ⚫回答: 明言は避けていた。興味があることを示唆。 ⚫質問: 市場監視当局がまだ決まらない理由や次のステップについて の詳細は？ ⚫回答: 理由についての回答はなし。次のステップとしては、今まで 通り「信頼できる推奨事項」を提供し続けることが現時点でのBSI の方針。 22

23. さいごに 23

24. SBOM Everywhere SIGに参加して有益だと感じたこと ⚫SBOM関連イベントの開催告知の情報が入手できる点 ⚫Draft段階のコミュニティ資料の情報が閲覧できる点 ⚫中の人のオフレコ情報が聞ける点 24

25. Thank you