Open Source Summit Europe 2025イベントレポート

Transcript

1. Open Source Summit Europe 2025 
 参加レポート 
 2025年9月26日
 サイバートラスト（株）/

   LF Japan Evangelist
 池田 宗広


2. イベント概要 
 Open Source Summit Europe 2025 (OSSEU 2025) ▪

   日時： 2025/8/25〜8/27 ▪ 主催：The Linux Foundation ▪ 会場：RAI, Amsteldam

3. ▪ CRA 関連は NA では2～3セッションだったが、震源地の EU では 10を超 えており関心が高い。Open Source

   Steward に関する明確な説明が年末 までに EU 政府連絡担当官からなされるとの情報あり。VEX は署名必須 という認識 ▪ NA ではあまり人気のない組込み・IoT 関連のセッションが軒並み立ち見 の大盛況。産業構造に起因している？ ▪ OSS AI の性能が Commercial AI に肉薄、超える寸前 ▪ AI のビジネス価値が OSS の外側（Application）に移行しつつある ▪ DARPA 後援のAI Cyber Challenge（AI x CC）コンペ終了、内容要注目 主要トピックス 
 • NA に比べて CRA, 組み込み系セッションへの参加者多数 • AI は相変わらず大きなトピック • セキュリティが「当たり前トピック」なことは継続

4. ▪ NA と話題は重複するものの CRA、IoT など関心領域の違いは明確にあ る。日本企業が注目する領域の話題はむしろ OSSEU の方が豊富なので は？ ▪

   以前は「OS Summit といえば Linux」感が強かったが、今は AI、Cloud な ど Linux の外側のオープンソースが中心になってきている。参加する側 としても勉強が必要と感じる（自戒） ▪ NA に引き続き、ゼロではないものの中国人がほとんどいないことに異 変を感じる。 ▪ ブレークアウトセッションが最大14並列。見たいセッションの重複が多い のでなんとかしていただきたいものである。 全体所感


5. 個別報告
 キーノート・テクニカルセッション 


6. Martina Kolpondinos, Kosma Connect; Wenjing Chu, Futurewei Technologies Inc. &

   Drummond Reed, Gen ▪ OSS に Trust を提供・確保するためのプロジェクト「 First Person Project」についての セッション (Youtube) ▪ OSS のコアとなる価値 • 参加になんの許可もいらないこと（permission less entry） • 世界中の誰でも参加できること（global participation） ▪ First Person Project の取り組み ＝ 価値を維持しつつトラストを確保するための、分散型のトラスト（ decentralized trust）の仕組み ▪ Step 1 : Proof of Personhood x Verifiable Relationships • AI などではなく人であることの証明（proof of personhood） && 国籍、所属などの検証可能な関係性（verifiable relationships） → その「人」のトラストを確保 • 「Trust Score Card」として要素ごとにクライテリアとスコアを定義 ▪ OSS PJ の参加には Level 1 のスコアを、メンテナには Level 5 のスコアを要求するなどして、必要なトラストを確保 ▪ Step 2 ： Trust Spanning Protocol • 公的 ID などの ID と W3C AC、OIDC クレデンシャルなどの異なる機関・仕組みが発行した ID 同士、またはクレデンシャル同士を 相互に結びつける ▪ TSP Draft Spec ▪ TSP SDK ▪ Step 3：ToIP Decentralized Trust Graph • 重複なく発行されている Personhood Credentials (PHC)と、検証可能な関係性クレデンシャル（Verifiable Relationship Credential :VRC）の関係をグラフ化する • IP 上でこれを表現する Trust over IP を開発中 ▪ 総合的には、 公的な ID などの「個人証明（ PHC）」と、PHC を持つ個人間の「検証可能な関係性（ VRC）」を組み合 わせることによって、ある個人へのトラストを証明・検証可能にする ための PJ A First Person Identity System for Open Source 


7. Andrew Martin, ControlPlane; Eddie Knight, Sonatype; Megan Knight, ARM; &

   Michael Lieberman, Kusari ▪ CRA が OSS にどんな影響を与えるかについて、議論・共有する パネルディスカッション (Youtube)。以下トピック ▪ 脆弱性を修正する義務があるのはあくまで Manifacturer。Steward は定義され義務が規定さ れているものの、ペナルティはない ▪ EU 政府連絡担当官から、年末までに Open Source Steward に関する明確な説明を行う予定 と聞いている ▪ OSS メンテナは、製造業者からのパッチが期待できる。それを受け入れるかどうかはメンテ ナが判断すればよい ▪ セキュリティに関して CRA という共通の標準を持ったことは重要 ▪ ある特定の製品にある脆弱性が影響を及ぼすかどうかを正確に記録するためには、 VEX を 発行する必要がある。VEX にはトラストに基づいた署名が必須となるだろう ▪ OpenSSF では隔週で CRA に関する議論のための Mtg を行っている。ぜひ参加してほしい • 注：水曜日 0:00 JST に「CRA Awareness SIG Community Meeting」が開催されているのでこれを指すと 思われる ▪ EU 以外に目を向けると、日本も SBOM を強制したと聞いた。 • 注：経済安全保障法の重要 14業種のことと推測 Panel Discussion: Prepare for the CRA: Open Source Governance in the Age of Cyber Resilience 


8. John Kjell, ControllPlane & Justin Cappos, New York University ▪

   精度の高い SBOM を作成するためには in-toto attestaion を利用し、SBOMit として流通させ るべきという主張のセッション (Youtube) ▪ 最も精度の高い SBOM を生成できるタイミングはビルド時。実際にビルドに使用されたもの が記載でき、依存情報やビルドシステムからの情報も得ることができる（注： OpenSSF の分類 でいうと Build SBOM） ▪ in-toto では open(2) などの syscall をフックしてビルドにどのファイルが使用されたかを情報 収集し、in/out/工程の記録である in-toto attestation と合わせることで正確な SBOM を生成 する仕組みをプロトタイプとして実装した • 各言語系にプラグインなどのツールを仕込むよりも統合的で優れた方法 ▪ SBOMit (https://github.com/SBOMit) は SBOM と in-toto attestation を一体で流通させるため の仕様・ツール。サプライチェーン攻撃を防ぐためにはこの２つが揃っていることが必要 セッション後 Justin と立ち話しところによると、米国大統領令 EO 14228 は草案段階では SBOM と attestation （provenance）の両方を義務化する内容だったが、反対意見により結果として SBOM の みが義務化されたとのこと。 Justin は SBOM と attestation の両方が揃ってこそサプライチェーンセ キュリティが強化できると考えており、これが SBOMit を開発した動機とのこと。SBOMit は要調査・ 要トライ Your SBOM Is Lying To You - Let’s Make It Honest 


9. Jonathan Corbet, LWN.net ▪ LWN.net 代表の Jonathan Corbet が Linux

   Kernel 30年の歴史をいくつかに区切り、そこから 得られた教訓を紹介するセッション (Youtube)。 1991～1998年： 「無視（ignore）」の時代 ▪ 「本格的なカーネルを開発できるのは大企業だけ」だと考えられており Linux は半ば「無視」 されていた ▪ 1998年の Netscape コード公開、1999年「伽藍とバザール」（エリック・レイモンド）により、誰で も利用・開発でき、頻繁にリリースする新しい開発モデルが知られるようになった ▪ Linux のライセンス GPLv2 はこの特長を義務付けるもの 教訓： 開発プロセスとライセンスは重要な意味を持つ ▪ Linux はカーネルであり、優れたカーネルはユーザランドなど他のあらゆる場所でのイノベー ションを発生させる 教訓： モジュール化は並行的なイノベーションを可能とする Three Decades in Kernelland 


10. 1998～2003年：「嘲笑（laugh）」の時代 ▪ ZDnet「Linux を使うのはよい考え。ただし炎上覚悟なら」 ▪ ドットコムバブルは Linux バブルでもあり、のちにはじける ▪ Linux

    は特定の企業に属さないためバブルがはじけたにも関わらず継続 ・発展できた 教訓： Linus はどの企業からも独立した存在であることが必要 ▪ 2001年：初の Kernel Summit 開催 教訓： 実際に会うことはとても大切 ▪ 2002年： BitKeeper 導入、分散レポジトリによるメンテナ制が整った ▪ このくらいになると、Linux を笑う人は誰もいなくなった Three Decades in Kernelland (2) 


11. 2003～2005年：「闘い（fight）」の時代 ▪ SCO vs IBM の UNIX 権利訴訟 教訓： ライセンスは非常に重要。GPL

    は著作権をベースとしているため、 盗用でないことに疑いはない 教訓： 重要な PJ には弁護士が必要 ▪ 2005年4月： BitKeeper がライセンスを変更 → Linus が Git を（２週間で）開発し利用開始 教訓： ツールは重要 教訓： プロプラソフトウエアは信用できない • AI がそうならないように願っている Three Decades in Kernelland (3) 


12. 2005年以降 ▪ 奇数バージョン＝開発バージョン、偶数バージョン＝ Stable バージョン → 全てのリリースをメジャーリリースとするモデルに 変更 • 1～2週間のマージウィンドゥ、

    3～9週間の安定化期間、 9～10週間ごとのリリース 教訓： インテグレーションは迅速に行うべき 教訓： 早期に収束させ、ユーザに素早く届けること が大切 教訓： 安定化には時間がかかる 教訓： 安定化と新機能開発は並行して行うべき ▪ 企業の思惑・意向が色々とインプットされた • Andrew Morton「ずれがあることは認識している」 教訓： Upstream first!! Three Decades in Kernelland (4) 
 ▪ HW サポートが拡大し、AMD はドライバのコードを公 開 教訓：企業と関わることは時に苦痛を伴うが、最終的 には報われる ▪ 2011年： kernel.org がクラッシュしてアクセス不能に なる事態が発生 教訓： インフラはプロフェッショナルの運用が必要 ▪ 2004年：RT Preemption PJ 開始 → 2024年9月：最後 の Pull Request 教訓： PJ が超長期に渡ったとしても、我々はうまくや れる

13. まとめ ▪ 色々なことがあり改善してきたが、全てが完ぺきというわけではない ▪ 今後の課題 • より開かれた多様性を持つ開発体制 • メンテナーへの必要十分かつ充実した支援 •

    開発ツール • より安全な言語 …今後開発を継続的に行うためには不可欠な要素 Three Decades in Kernelland (5) 


14. かつて独立したイベントだった頃から続く Embedded Linux Conference （ELC）のクロージングゲーム (Youtube) ▪ ゲーム(1) ： 最古のイベントTシャツコンテスト

    • ５枚くらい重ね着している人がおり、一番下は 2007年？くらいのT シャツでぶっちぎりの優勝 ▪ ゲーム(2) ： Technical and nerd trivia • 「宇宙に出て行った Linux マシンは 5,000台を超えている。〇 か ✕ か？」などの問題に答える勝ち残りゲーム • 池田は実は第一回 or 第二回 のゲームウィナーなのだが、今回 は最終問題で惜しくも脱落 ▪ ゲーム(3) ： 運勝負 • 壇上の Tim Bird とのじゃんけん対決（秒で敗退） ▪ 第20回の今回を最後に Tim Bird は ELC 主催から勇退することを 発表。後継は AGL の Walt Miner OSS はあなたの知らない楽しいところにあなたを誘う。 Linux とは、 （自宅のイベント T シャツでいっぱいのクローゼット写真を投影しながら） ワードローブであり、 （同じく多くのペンギン人形を投影しながら） ペンギンアプリのセットであり、 （これまでの ELC の写真を投影しながら） コミュニティである。 という Tim からの締めで OSSEU の全プログラムが終了した ELC Closing Game: Cheers to 20 Years! 
 銀河帝国皇帝風マント（ただし白）に身を包む Tim Bird の勇 姿。勇退は大変残念だが、これまで続けてきてくれたことに感 謝したい

15. ▪ ルネサンス期の雰囲気が今に残る古都であり、運河とトラムと自転車と 芸術の街 • フェルメール、レンブラント、ゴッホに所縁あり ▪ 8月で朝晩 15℃、昼間 28℃ 程度と大変過ごしやすい気候

    • 同時期東京は連日 35℃ 超え ▪ 治安の悪さは感じなかったが、繁華街は賑わい過ぎで油断大敵 おまけコーナー：Amsterdam, Netherland 
 無数の運河が張り巡らされている 庶民の足はトラムと自転車 銅像のあるレンブラント広場

16. 以下、OpenSSF Community Day EU のセッション 
 （余保さんから紹介がなかったらちょっと紹介） 


17. Vibhav Bobade & Vincent Demeester, Red Hat ▪ SLSA Level

    3, 4 に向けた Tekton の取り組みを紹介するセッション (Youtube) ▪ Tekton ： CI･CD システム構築のためのフレームワーク • ワークフローパイプラインを構成する core、UI、イベントトリガーなどで構成 ▪ SLSA Level 3 準拠への課題 • 隔離されたビルド環境： タスクの定義に依存 • 署名キーへのアクセス制限： Tekton のスコープ外（アーキテクチャによる） • 偽造不可能なprovenance： SPIFFE/SPIRE を試行中 • Trusted artifact with wigned task/pipeline ： 試行中 ▪ SLSA Level 4 準拠への課題 • reproducible ビルドは hermekton でまだ experimental feature となっている ▪ Tekton 以外で考えられる手段 • Konflux • FRSCA FRSCA が出てくるところからみて Tekton はオンプレ運用可能なフレームワークに思 える。要注目。 Path to SLSA 4: How Tekton Secures the Software Supply Chain 


18. Jeff Diecks, The Linux Foundation ▪ AI Cyber Challenge（AI x

    CC）の結果を紹介するセッション (Youtube) ▪ AI Cyber Challenge (AI x CC) • DARPA が後援する脆弱性検出とパッチ生成を自動化するためのコンペティション • ２年間に渡り開催、この度終了 • OpenSSF も産業界への適用、OSS PJ とのコラボレーションで支援 ▪ 最終選考に残った PJ の成果 • 77% の既知脆弱性を検出 • 18 の Zero Day 脆弱性を検出 • 11のパッチを生成（Java 向け） ▪ 境界外アクセス、use-after-free の検出など ▪ 最終選考 PJ の一部とその特長 • Team Atlanta： 最も多くの脆弱性を検出 • Trail of Bits ： 300行以上のパッチを生成 • Theori ： 最も安価にパッチを生成 ▪ 今後、成果は OSS としてリリースする 脆弱性検出とパッチの生成は今後間違いなく AI の支援が必要な領域であり要注目。 AIxCC Results and New Open Source AI Projects To Help Secure Open Source Software 


19. 留意事項 本資料に記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。 その他本資料に記載されているイラスト・ロゴ・写真・動画・ソフトウェア等は、当社または第三者が有する知的財産権やその他の権利により守られております。 お客様は、当社が著作権を有するコンテンツについて、特に定めた場合を除き、複製、改変、頒布などをすることはできません。 本資料に記載されている情報は予告なしに変更されることがあります。また、時間の経過などにより記載内容が不正確となる場合がありますが、当社は、当該情報を更新する義 務を負うものではありません。