OpenSSF 10分クッキング ー 10分でOpenSSFを解説

Transcript

1. Copyright © 2024 The Linux Foundation®. All rights reserved. The

   Linux Foundation has registered trademarks and uses trademarks. OpenSSF 10分クッキング 10分でOpenSSFを解説

2. マクロトレンド ➔ OSSセキュリティの重要性 ◆ デマンドサイドのOSSの価値は8 Trillion（1200兆円）以上であると言われている。また世界のビジ ネスで利用されているソフトウェアコードのうち70−80％程度（Lines of Codeベース）がOSSであ るとも推定されている

   ◆ OSSプロジェクトは世界で数百万以上存在するが、事業で頻繁に利用されているOSSはそのうち一 握り。つまりみんなが同じコードを使っている ◆ よって、重要なOSSの一つに脆弱性が見つかった場合の経済的損失は極めて大きい ➔ 各国の対策（超）サマリー ◆ US – CISAを中心にコミュニティと連携。CISA自身がOSSセキュリティプラクティスを実践すると ともに、OSSをセキュアにする取り組みに対する資金的な支援も実施。 ◆ EU – CRA (Cyber Resilience Act）および 各国でCRA施行を念頭においた準備進行中（例：ドイツ の Secure Open Source Life Sycle ◆ 日本 – SBOMの手引書の作成

3. OpenSSF対策サマリー ➔ いろいろ行っている対策をわかりやすく分類すると以下の３つ 1. コミュニティ開発をセキュアに：評価手法、無償ツール、無償の教育 2. ソフトウェアサプライチェーン管理 : SBOM、SLSAなど 3.

   脆弱性の発見と報告、およびその手法の確立：発見ツール、報告ガイド

4. イベント 4

5. 5

6. 6

7. • 日時：2024年11月1日 (金) • 会場：国際文化会館 • 参加登録 (無料)：こちらから • 定員

   : 80名 予定セッション • SBOMフォーマット：SPDX, CycloneDX • SBOMとOSSマネジメント • SBOMとサプライチェーンマネジメント • SBOMの業界事例：自動車業界における SBOM • SBOMに関する政策 ＊SBOM Summit 終了後に続けてSLSA Workshopを開催 7

8. 8 Please enjoy the meetup! 8