Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OSS の脆弱性対応の舞台裏

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for うたもく うたもく
December 19, 2025
1.4k
2

OSS の脆弱性対応の舞台裏

3-shake SRE Tech Talk #14 オンサイト での発表資料です。
https://3-shake.connpass.com/event/373259/

Avatar for うたもく

うたもく

December 19, 2025

More Decks by うたもく

See All by うたもく
オープンソースソフトウェアへの解像度🔬
Avatar for うたもく utam0k
18
5.1k
CNCF Project の作者が考えている OSS の運営
Avatar for うたもく utam0k
7
1.1k
Podman with WebAssembly
Avatar for うたもく utam0k
2
1k
クラウドネイティブの基盤要素、コンテナの今と未来
Avatar for うたもく utam0k
21
7k
Possibility of OCI Container Runtime with Rust
Avatar for うたもく utam0k
3
1.6k
Container-related technologies supporting Gitpod
Avatar for うたもく utam0k
1
1.3k
詳説 OCIコンテナランタイム youki@第15回 コンテナ技術の情報交換会
Avatar for うたもく utam0k
5
2.3k
Rust 🤝 Container Runtime @ Rust.Tokyo 2021
Avatar for うたもく utam0k
2
2k
「あれ、コンテナって何だっけ?」から生まれた Rust で書かれた コンテナランタイム youkiの話@ODC2021
Avatar for うたもく utam0k
6
4.3k

Featured

See All Featured
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
37
6.4k
Skip the Path - Find Your Career Trail
Avatar for Mark Kilby mkilby
1
120
The Mindset for Success: Future Career Progression
Avatar for Greg Gifford greggifford
PRO
0
330
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
287
14k
How to build a perfect <img>
Avatar for Jono Alderson jonoalderson
1
5.5k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
Avatar for Christian Goodrich cargoodrich
3
690
So, you think you're a good person
Avatar for Per Axbom axbom
PRO
2
2k
The B2B funnel & how to create a winning content strategy
Avatar for Katarina Dahlin katarinadahlin
PRO
1
360
30 Presentation Tips
Avatar for Ian Lurie portentint
PRO
1
290
Stewardship and Sustainability of Urban and Community Forests
Avatar for Eric Wiseman pwiseman
0
200
Mozcon NYC 2025: Stop Losing SEO Traffic
Avatar for Sam Torres samtorres
0
230
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
Avatar for Andy Polaine apolaine
1
310

Transcript

  1. OSS の脆弱性対応の舞台裏 SRE Tech Talk # 14 Toru Komatsu(@utam 0

    k) 1

  2. 3 -shake 技術顧問 OSS Activities Maintainer: youki-dev/youki opencontainers/runtime-spec Reviewer: Kubernetes

    SIG-Scheduling containerd/runwasi Community: CNCF Ambassador, CNCJ Board Member @utam0k Toru Komatsu 2

  3. 2025೥11݄7೔ CVE- 202 5 - 31 1 3 3 /

    7 . 3 High(CVSS v 4 ) ‣maskedPaths 実装における競合状態 CVE- 202 5 - 52 5 6 5 / 7 . 3 High(CVSS v 4 ) ‣/dev/console のマウント初期化時の競合 CVE- 202 5 - 52 8 8 1 / 7 . 3 High(CVSS v 4 ) ‣共有マウントを利 用 した /proc への書き込みリダイレクトと LSM 回避 3

  4. GitHub Ͱϗετ͞Ε͍ͯΔ OSS ͷ੬ऑੑରԠ 4 あくまでも 一 例 1 .

    脆弱性について報告を受ける 2 . 脆弱性について確認 3 . Security Advisoryの作成 & 関係者を招待 4 . 関係者で議論を 行 い、脆弱性の概要と CVSS などのスコアを設定 5 . CVE をリクエストを 行 い、取得 6 . パッチの作成とレビュー 7 . パッチをマージし、Security Advisory を公開

  5. 1 . 脆弱性について報告を受ける 2 . 脆弱性について確認 3 . Security Advisoryの作成

    & 関係者を招待 4 . 関係者で議論を 行 い、脆弱性の概要と CVSS などのスコアを設定 5 . CVE をリクエストを 行 い、取得 6 . パッチの作成とレビュー 7 . パッチをマージし、Security Advisory を公開 GitHub Ͱϗετ͞Ε͍ͯΔ OSS ͷ੬ऑੑରԠ 5 メールなどでのやりとり

  6. GitHub ͷ Security Advisor https://github.com/youki-dev/youki/security/advisories/GHSA-4g74-7cff-xcv8 6

  7. GitHub ͷ Security Advisor https://github.com/youki-dev/youki/security/advisories/GHSA-4g74-7cff-xcv8 7   CVSS   CVE

      Overview   Version

  8. 舞台裏 表には 見 えない機能 ࣮͸͍Ζ͍Ζͳػೳ͕͋Δ ‣ٞ࿦ ‣ίϥϘϨʔλͷট଴ 8

  9. ೖྗ͢΂͖߲໨ΛຒΊΔͱείΞ͕ͰΔ 9 舞台裏 CVSS

  10. 舞台裏 CVE ID Security Advisoryからボタンを押すだけで CVE を取得できる 1 0

  11. ちゃんと 見 てくれているので普通に Reject されることも 1 1 舞台裏 CVE ID

  12. 舞台裏 パッチの作成とレビュー 方 法 GitHub には temporary private fork という専

    用 の機能がある ‣Org に private fork が作成される ‣関連している 人 のみが 見 られる ‣Pull Request のマージと Security Advisoryが連携する ‣マージするといきなり main のリポジトリに push される 1 2

  13. 舞台裏 パッチの作成とレビュー 方 法 難しさ: GitHub Actions が利 用 不可

    🙈 実際にマージして CI が落ちてリリースできなかったことがある 1 3

  14. 舞台裏 公開 ‣Dependabot によるアラート ‣CVE ページが更新される • たぶん、GitHub 側が Security

    Advisoryを読んで更新していそう 1 4 https://docs.github.com/en/code-security/security-advisories/working-with-repository-security-advisories/publishing-a-repository-security-advisory

  15. GitHub Ͱϗετ͞Ε͍ͯΔ OSS ͷ੬ऑੑରԠ 1 . 脆弱性について報告を受ける 2 . 脆弱性について確認

    3 . Security Advisoryの作成 & 関係者を招待 4 . 関係者で議論を 行 い、脆弱性の概要と CVSS などのスコアを設定 5 . CVE をリクエストを 行 い、取得 6 . パッチの作成とレビュー 7 . パッチをマージし、Security Advisory を公開 1 5 あくまでも 一 例

  16. おしまい 16