Open Source Summit NA / OpenSSF Day報告

Transcript

1. Copyright Cybertrust Japan Co., Ltd. Security Meetup Tokyo
 Open Source

   Summit NA / OpenSSF Day 報告
 2023/06/02
 サイバートラスト株式会社
 IoT技術本部
 池田 宗広


2. Copyright Cybertrust Japan Co., Ltd. Agenda
 OSSNA / OpenSSF Day

   2023 で興味深かったセッションを紹介します ▪ Mobilizing for the Mobilization Plan (Christopher Robinson, Intel) ▪ Getting Involved in Sigstore Research Projects (Hayden Blauzvern, Google) ＋おまけコーナー ▪ Vancouver, Canada

3. Copyright Cybertrust Japan Co., Ltd. Mobilizing for the Mobilization Plan


   (Christopher Robinson, Intel)


4. Copyright Cybertrust Japan Co., Ltd. ３つの目標（3 Goals）と10 の主要な問題（10 Streams）を定義・特定 •

   日本語版：https://www.linuxfoundation.jp/publications/2022/08/oss_security_mobilization_plan/ • OSS Security Summit II @ Whitehouse で提案・宣言 あらためて：OSS Security Mobilization Plan
 3 Goals 1. セキュリティ教育 2. リスク評価 3. デジタル署名 4. メモリー安全性 5. インシデント対応 6. スキャニングの改善 7. コード監査 8. データ共有 10 Streams 9. ソフトウェア部品表 （SBOM）の普及 10. サプライチェーンの改善 1. セキュアな OSS の作成 2. 脆弱性の検出と修復の強化 3. エコシステムのパッチ応答 時間を短縮

5. Copyright Cybertrust Japan Co., Ltd. ▪ 「OSS Security Mobilization Plan」の現状と今後について、Christopher

   Robinson（Intel）からのセッション ▪ Mobilization の意義：OSS セキュリティ強化に関する活動を一本化するこ とで、 • 各国が強めつつある法的規制が OSS に与える悪影響を低減する • 全ての関係者がリスク判断するための情報にアクセスできるようにする ▪ セッションスライド • https://static.sched.com/hosted_files/openssfna2023/4a/OSS-NA%202023%20-%2 0OSSFDay%20-%20Mobilizing%20for%20the%20Mobilization%20Plan%20%281%2 9.pptx.pdf Mobilizing for the Mobilization Plan
 Christopher “CRob” Robinson

6. Copyright Cybertrust Japan Co., Ltd. ▪ EU ： Cyber Resilience

   Act, Product Liability Directive • 「全てのデジタル製品」が対象 • SBOM作成、アップデートの提供などを義務化 • リスクレベルにより 自己適合宣言 or 第三者認証 を求める ▪ ドイツ： The Law on the Federal Office for Information Security • 連邦情報セキュリティー庁（BIS）の権限強化（監査、情報取得、改善命令） • 重要インフラは重要部品の信頼性保証書届け出を義務化、政府が利用禁止命令 可能 ▪ ASEAN： 2025年目標にサイバーセキュリティ規制の策定を目指す ▪ 日本： 経済安全保障推進法 • 基幹インフラ14事業のシステム導入・更新でサイバーセキュリティに関する政府審 査を義務化 参考： 各国の法的規制


7. Copyright Cybertrust Japan Co., Ltd. 活発な Stream といまひとつな Stream が出てきている

   勝手な所感
 #1 セキュリティ教育 #2 リスク評価 #3 デジタル署名 #4 メモリー安全性 #5 インシデント対応 #6 スキャニングの改善 ？ #7 コード監査 ？ #8 データ共有 ？ #9 ソフトウェア部品表（SBOM）の普及 #10 サプライチェーンの改善

8. Copyright Cybertrust Japan Co., Ltd. #1 教育 ▪ 開発マネージャーへのトレーニングコースを開発中 ▪

   DEI にフォーカスした教育コースを整備、オフィスアワーを設置 • DEI : Diversity (多様性), Equality (平等), Inclusion (受容) ▪ 教育のためのマテリアル、講師募集中 #3 デジタル署名 ▪ sigstore が GitHub Actions、LLVM リリースなど多くのケースで使われ始め ている 活発な Streams


9. Copyright Cybertrust Japan Co., Ltd. #4 メモリセーフ ▪ メモリーセーフな開発のためのベストプラクティスとツールを収集中 ▪

   主要な OSS PJ への資金的な援助を OpenSSF とそのメンバに呼びかけ ▪ C、C++ といった伝統的言語でのメモリセーフ開発手法があれば是非提供して ほしい #9 SBOM ▪ SBOM は各種規制・法令から注目されており、今後多くのツールや具体的な使 い方が出てくることを予想 ▪ 活発に議論されているが「進みが遅い」 ▪ OSS 以外も含めた SBOM 利用の大きな「絵」を描くことが最重要課題 ▪ ２つのゴール： • SBOM の取り扱い・相互運用を簡単にすることで利用促進する • ツールを OSS 界に普及させる (いくつかの PJ と協働して普及策を見出す) 活発な Streams


10. Copyright Cybertrust Japan Co., Ltd. #6 スキャニング改善 #7 コード監査（特に Alpha）

    ▪ Alpha PJ 対象： Node.js、Eclipse、Rust、JQuery, Python ▪ 関係者のオフライン発言「お金の問題」 • 景気後退局面にあって、エンジニアリソースはむしろ獲得しやすいとも (実際、Omega PJ は 2022年 に2名のフルタイムエンジニアを獲得している) #8 データ共有 ▪ （特に言及なし） いまひとつ？な Streams


11. Copyright Cybertrust Japan Co., Ltd. #2 リスク評価 ▪ 情報公開のためのダッシュボードを metrics.openssf.org

    に作成中、5月末 にβ版公開予定 ▪ ダッシュボードの UI（フロントエンド）開発への協力求む #5 インシデント対応 ▪ VINCE ツールの強化を実行中 • VINCE： CMU の脆弱性管理プラットフォーム ▪ https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=651691 ▪ SIREN に脆弱性通知サービスを提案 ▪ OSS PJ にどのような脆弱性対応を行なっているかサーベイを計画中 • 注： 具体的にどの PJ かは語られなかった その他の Streams（順調？）


12. Copyright Cybertrust Japan Co., Ltd. #10 サプライチェーンの改善 ▪ 開発ワークフローの中でスキャン、修正、SBOM 生成を自動的に行うため

    の一貫したツール群を「Sterling Toolchain」として OpenSSF の Governing Board に提案中 その他の Streams（順調？）
 ※ セッションスライド p.34 より

13. Copyright Cybertrust Japan Co., Ltd. “Plan” という言葉はあいまい ▪ 各章に関連する各 SIG

    が、実行計画、その理由、必要なリソースをより具体的に書き 換えてほしい 活動の状況はどこを見ればよいのかよく分からない ▪ 関連した活発なコミュニティに参加するのがよいのではないか 活動の成功のカギはなにか ▪ 活発な活動や WG に参加・連携するのがよいのでは → 2023年中のプラン改訂を予定 教訓と期待される対応・改善


14. Copyright Cybertrust Japan Co., Ltd. Stream と関連コミュニティ
 ※ セッションスライド p.42

    より

15. Copyright Cybertrust Japan Co., Ltd. 1. セキュリティ教育 安全なソフトウェア開発の基本に関する教育と認定をすべての人に提供する。 ▪ Secure

    Software Development Fundamentals Courses ▪ OpenSSF Fundamentals Courses SIG 2. リスク評価 OSSコンポーネントのトップ1万件（またはそれ以上）について、一般に公開され、ベン ダーニュートラルで、客観的指標に基づくリスク評価ダッシュボードを開設・確立する。 ▪ LFX ▪ OpenSSF Best Practices badge 3. デジタル署名 ソフトウェアリリースでデジタル署名の採用を加速させる。 ▪ sigstore 参考：10 Streams（活動の流れ）


16. Copyright Cybertrust Japan Co., Ltd. 4. メモリー安全性 メモリー非安全な言語を置き換えることで、多くの脆弱性の根本的な原因 を排除する。 ▪

    Linux Kernel の Rust 対応 5. インシデント対応 OpenSSF Open Source Security Incident Response Team を立ち上げる。脆 弱性対応時の重要な時に、オープンソースプロジェクトの支援に加わるこ とができるセキュリティ専門家のチーム。 6. スキャニングの改善 高度なセキュリティツールと専門家のガイダンスを通して、メンテナーと専 門家による新しい脆弱性の発見を加速させる。 ▪ Alpha-Omega PJ (Omega) 参考：10 Streams（活動の流れ）


17. Copyright Cybertrust Japan Co., Ltd. 7. コード監査 年に1回、最大200個の最も重要なOSSコンポーネントのサードパーティー コードレビュー（と必要な修正作業）を実施する。 ▪

    Alpha-Omega PJ (Alpha) 8. データ共有 業界全体のデータ共有を調整して、最も重要なOSSコンポーネントを特定 するための調査を改善する。 9. ソフトウェア部品表（SBOM）の普及 SBOMツールとトレーニングを改善して、導入を促進する。 ▪ SPDX ▪ SBOM Everywhere SIG 参考：10 Streams（活動の流れ）


18. Copyright Cybertrust Japan Co., Ltd. 10. サプライチェーンの改善 より優れたサプライチェーンセキュリティツールとベストプラクティスで、最 も重要な10のオープンソースソフトウェアビルドシステム、パッケージマ ネージャー、ディストリビューションシステムを強化する。

    ▪ Supply-chain Levels for Software Artifacts (SLSA) 参考：10 Streams（活動の流れ）


19. Copyright Cybertrust Japan Co., Ltd. Getting Involved in Sigstore Research

    Projects
 (Hayden Blauzvern, Google)


20. Copyright Cybertrust Japan Co., Ltd. Getting Involved in sigstore Research

    Projects
 ▪ Hayden Blauzvern (Google) から、“sigstore” への参加・貢献しどころの紹 介 • “Research Projects” なので、やや将来的なお話し ▪ セッションスライド • https://static.sched.com/hosted_files/openssfna2023/ca/Getting%20Involved%20i n%20Sigstore%20Research%20Projects%20-%20OpenSSF%20Day%20%2723.pdf

21. Copyright Cybertrust Japan Co., Ltd. ▪ コードなどの成果物に署名する・署名を検証するための仕組み ▪ 複数のサービスとツールで構成される ▪

    署名鍵の管理が不要 • 鍵は作成して署名に使ったらすぐ捨てる • 永続的な信用情報は、署名時点で有効な鍵（証明書）が存在したログ ▪ 位置づけ： 署名に対する sigstore == TLS に対する Let’s Encrypt ▪ GitHub Actions、LLVM リリースなど多くのケースで採用 おさらい： sigstore とは
 https://www.sigstore.dev/

22. Copyright Cybertrust Japan Co., Ltd. プライベートデータの保護 ▪ ZKP： Zero Knowledge

    Proof • メールアドレス、プライベートレポジトリなどのプライベート情報を使わずに署名検 証を可能にする • 目的：情報を透明ログから外に出さない ▪ VRF： Verifiable Random Function • Key Transparency の E2E 暗号化Appで使用されている • 目的：クライアントが正しいサーバと通信していることを保証する？ ▪ PIR ： Privacy Information Retrieval • どのエントリをクエリしているか知られずにクエリする • 目的： 何をインストールしようとしているかの情報をログクエリにも与えない 貢献のしどころ


23. Copyright Cybertrust Japan Co., Ltd. 透明性ログのスケーラビリティ ▪ 大規模な witness network

    の実装 • Witness NW : チェックポイントを設けて整合性（改ざんされていないこと）をチェック ▪ Gossiping protocols（ゴシッププロトコル） • ログサーバー間の情報整合 認証ポリシー ▪ Rego, CUE などポリシー言語のクライアントへの採用 • 認証キーとして何を用いるかを選択できるようにする、など ▪ Binary Authorization との連携 • コンテナイメージのデプロイにポリシーを適用する Google のサービス • sigstore による検証で不正・不良イメージのデプロイを禁止できる ▪ 人の認証 vs マシン認証 • 現状の sigstore はメールアドレス = 人 を認証主体としている • GitHub Action などアーティファクトが自動で生成される場合はマシンを認証主体にすべ き？ 貢献のしどころ


24. Copyright Cybertrust Japan Co., Ltd. The Update Framework での sigstore

    活用 ▪ アップデートに対する脅威： Roll-back 攻撃・Freeze 攻撃 ▪ sigstore により鍵の危殆化リスクを排除する ▪ TUF クライアントの API 強化、言語バインド Roughtime の利用 ▪ 非常に短い有効期間の証明書を使用する sigstore にとって、時刻情報は 極めて重要 ▪ Roughtime で信頼性のある時刻情報を得る 貢献のしどころ


25. Copyright Cybertrust Japan Co., Ltd. おまけ： Vancouver, Canada


26. Copyright Cybertrust Japan Co., Ltd. ▪ 言わずと知れたカナダ西海岸最大の都 市です ▪ 樺太と同じ程度の高緯度で、夏は西海

    岸らしい気持ちのよい気候です ▪ 飛行機は測地線で飛ぶので日本からは ８時間程度で着きます ▪ カナダ最大の港湾都市であるとともに、 林業、観光業が盛んな国際都市です ▪ 静かな入り江の向こうに残雪の山が見 える、非常に美しい街です おまけコーナー： Vancouver, BC, Canada


27. Copyright Cybertrust Japan Co., Ltd. 信頼とともに 留意事項 本資料に記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。 その他本資料に記載されているイラスト・ロゴ・写真・動画・ソフトウェア等は、当社または第三者が有する知的財産権やその他の権利により守られております。 お客様は、当社が著作権を有するコンテンツについて、特に定めた場合を除き、複製、改変、頒布などをすることはできません。

    本資料に記載されている情報は予告なしに変更されることがあります。また、時間の経過などにより記載内容が不正確となる場合がありますが、当社は、当該情報を更新す る義務を負うものではありません。