Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

Open Source Summit EU 参加レポート

Open Source Summit EU 参加レポート

日立製作所 研究開発グループ 川名のん氏
2024年10月3日開催 OSSセキュリティMeetup 講演資料

Linux Foundation Japan

October 06, 2024
Tweet

More Decks by Linux Foundation Japan

Other Decks in Technology

Transcript

  1. 0 © Hitachi, Ltd. 2024. All rights reserved. Open Source

    Summit EU 参加レポート 2024/10/3 日立製作所 研究開発グループ 川名のん OSSセキュリティMeetup
  2. 1 © Hitachi, Ltd. 2024. All rights reserved. Open Source

    Summit Europe 2024 2024/9/16-18 @ウィーン/オーストリア 会場:オーストリアセンターウィーン ◆ Open Source Summitとは オープンソース開発者、技術者が情報を共有し、持続可能なオープン ソースエコシステムを確保するための主要なイベント OSSに関連したコロケーションカンファレンスも開催され、今回は Secure Open Source Software (SOSS) Community Day Europeが19日に開催された ◆ ちなみに… ウィーンでは9/12~15に大雨洪水警報が出ており、ドナウ川が氾濫 する、電車が通行止めになる、などの被害が出ていた 16日までは気温がかなり低く、現地の人も「こんな天気初めて」という ほどの荒天だった
  3. 2 © Hitachi, Ltd. 2024. All rights reserved. Open Source

    Summit Europe 2024 主要なカテゴリと発表件数 0 5 10 15 20 25 ContainerCon CloudOpen Digital Trust Open AI + Data Forum SupplyChainSecurityCon OSPOCon Zephyr Open Source Leadership Summit ※Digital Trust、Zephyrは新設(OSSEU2023にはなかった)カテゴリ
  4. 3 © Hitachi, Ltd. 2024. All rights reserved. Keynote: Welcome

    & Opening Remarks ◆ 発表者: Gabriele Columbro (Linux Foundation Europe) Nandini Ramani (AWS) Daniela Barbosa (The Linux Foundation) Arpit Joshipura (The Linux Foundation) ◆ 概要:以下の発足を発表 ・Open search software foundation:オープンソースとして開発されているOpenSearchを推進する団体 ・LF Decentralized Trust:分散型テクノロジーシステムを形成するための組織 LF Decentralized Trustに付随して、新しいプロジェクトも発表された ・Lockness:鍵管理やデジタル署名プロトコルのためのオープンソースエコシステム ・Hiero:独自のメカニズムを活用した堅牢なオープンソース分散型台帳
  5. 4 © Hitachi, Ltd. 2024. All rights reserved. Keynote: Linus

    Torvalds in Conversation with Dirk Hohndel ◆ 発表者: Linus Torvalds Dirk Hohndel ◆ 概要:Linus Torvaldsと、その友人でオープンソースプログラムオフィス責任者のDirk Hohndelによる(いつもの)対談 ・Linux6.11のリリース、Linuxプロジェクトの開発状況などの最新トピック ・Linus Torvaldsは1991年のリリース以降、今でもコアな開発を行っている →意味・興味があるものを見つけて、何十年も費やして続けることが重要。最初に周りと少し違うことをやるのも大事 ◆ 動画URL https://www.youtube.com/watch?v=OM_8UOPFpqE&list=PLbzoR- pLrL6pwSxJqsghZ1XVNb7pngzJv&index=18
  6. 5 © Hitachi, Ltd. 2024. All rights reserved. Keynote: Securing

    the Software Commons: Standards, Automation, and AI for a Resilient Open Source Future ◆ 発表者:Abhishek Arya (Google) ◆ 概要:「標準化」「自動化」「AI」の3つの要素が、オープンソースのセキュリティに大きな変化をもたらす 標準化 SLSAフレームワーク、OSV脆弱性スキーマ(Googleが開発している「OSV-Scanner」)を成功事例として紹介。これ らの標準化によりオープンソースの脆弱性を簡単に特定、対処できるようになる 自動化 オープンソース開発者が日常の手作業を減らすためにも自動化が必要。統合プラットフォームによって、さまざまなセキュリ ティツールを簡単に統合できるようになる AI 脆弱性の分析やパッチ当てなどに活用できる。セキュリティを強化する可能性があるが、うまく使うためには現在のAIの限 界を理解しないといけない。プロンプトやトレーニング、検証によってAIの精度を高めていくことが大事 →オープンソースのセキュリティの未来は明るい! 今回の3つの要素を活用することで、開発者の負担を減らしながら、 より安全なオープンソースの構築ができるようになる
  7. 6 © Hitachi, Ltd. 2024. All rights reserved. Application Security

    is a Community Effort ◆ 発表者:Fernando Diaz (GitLab) ◆ 概要:OSSセキュリティは個人で解決する問題ではなく、コミュニティ全体の取り組みが必要 オープンソースプロジェクトの利点 ・透明性:コードがオープンなため、脆弱性の早期発見と解決を促進する。例えば、XZ Utilsの脆弱性ではコミュニティの 協力によって問題が迅速に特定された ・コスト削減:既存のオープンソースを利用することで開発コストやメンテナンス負担を軽減できる オープンソースプロジェクト・コミュニティの課題 ・活動:オープンソースコミュニティの活動を維持することは難しく、多くのプロジェクトが時間とともに活動を停止している ・セキュリティリスク:OSSの広範的な使用により、脆弱性が発見された場合の影響が大きい。さらに、常に進化する脅威 に対応しないといけない 解決策 ・教育とトレーニング:安全なコーディングに準拠する。OWASPのJuice Shopなどを活用して脆弱性について学ぶ。 フォーラム、カンファレンスへの参加で、セキュリティ問題への理解を深める ・定期的な監査と脅威モデリング:定期的な監査で潜在的なリスクを特定し、全体的なセキュリティを向上させる
  8. 7 © Hitachi, Ltd. 2024. All rights reserved. Enhancing Artifact

    Security with GitHub’s Build Provenance and Minder ◆ 発表者:Fredrik Skogman (GitHub)、Radoslav Dimitrov (Stacklok) ◆ 概要:SLSAのGitHub用APIでprovenanceを生成し、Minderでポリシーを適用するデモの実演紹介 ・TUF、SLSA、sigstoreを使ったシステム構成でprovenanceを生成するデモ ・署名されたからといって必ずしも安全ではないが、セキュリティリスクを軽減する ・Minder(by Stacklok)はSDLC全体のリスクを抑えるためのポリシーを提供し、ポリシーへの準拠を証明するツール。 ユーザーはリポジトリを登録し、ポリシーを定義することで、リポジトリと成果物が一貫して安全に構成されるようにすること ができる
  9. 8 © Hitachi, Ltd. 2024. All rights reserved. Planning for

    Retirement: How Can We Prepare for Software’s End-of- Life/End-of-Support Date? ◆ 発表者:Victoria Ontiveros (CISA)、Justin Murphy (DHS/CISA) ◆ 概要:製品寿命(End of Life, EOL)とサポート終了(End of Support, EOS)に関する問題提起 EOL/EOSの重要性 ・EOL/EOSに達するとセキュリティリスクが増大するため、古いソフトウェアやハードウェアの使用はリスクを伴う 現状の課題 ・EOL/EOSの定義が曖昧で、オープンソースソフトウェアにおいては一貫した基準がない ・大規模なシステムだと、すべてのコンポーネントのEOL/EOS情報を追跡するのが困難 解決策 ・EOL/EOSの明確な定義を作成し、製品とOSSの両方に適用可能なものにする →Open EOX:EOL/EOS情報を機械可読形式で標準化し、共有するためのスキーマを開発しているプロジェクト ・ソフトウェアのサプライチェーンに関する情報を明確にし、既存のツール(SBOM、VEX、CSAなど)を活用する
  10. 9 © Hitachi, Ltd. 2024. All rights reserved. We Know

    Security but How Do We Secure GenAI End-to-End? ◆ 発表者:Mihai Maruseac (Google) ◆ 概要:AI/MLのセキュリティリスクは従来のソフトウェアと同様に存在し、従来のセキュリティ対策を適用可能 AIのセキュリティリスク プロンプトインジェクション:従来のSQLインジェクションに似ている データ漏洩:従来のソフトウェアと同様に頻繁に発生 マルウェア:モデルにマルウェアを隠すことが可能 リモートコード実行:強力な操作を含むモデルが攻撃対象になる セキュリティ対策 SLSA for Models:モデルのトレーニングプロセス全体を保護するためのフレームワーク Model cards:モデルのトレーニングデータやライセンス情報を提供 AI BOM:モデルの依存関係を表示
  11. 10 © Hitachi, Ltd. 2024. All rights reserved. Open Source

    Summit Europe 2024 ◆ 所感 ・セッションのジャンルが広くて多いため様々なことを知れるが、ピンポイントで聞きたい・知りたいと思う内容に出会うのが 難しい 特にAI系は生成AIのチュートリアルのような内容が多く、新規性をあまり感じられなかった講演も… →聞きたい内容が明確なら、そのジャンルに特化したコロケーションカンファレンスの方がいいかも ・生成AI系の発表は人が集まりやすい傾向にある デジタルトラストもそこそこ人が集まっていて関心が高そう(もっと別のカンファレンスがあったのでは…?とも思った) ・ウィーン最高でした!町がコンパクトで観光地がまとまってるし、地下鉄も安心して乗れる治安の良さ ◆ 来年も開催! ホームページでOpen Source Summit Europe 2025の開催が発表されていた 2025/8/25-27 @アムステルダム、オランダ