OSS の脆弱性対応の舞台裏

Transcript

1. OSS の脆弱性対応の舞台裏 SRE Tech Talk # 14 Toru Komatsu(@utam 0

   k) 1

2. 3 -shake 技術顧問 OSS Activities Maintainer: youki-dev/youki opencontainers/runtime-spec Reviewer: Kubernetes

   SIG-Scheduling containerd/runwasi Community: CNCF Ambassador, CNCJ Board Member @utam0k Toru Komatsu 2

3. 2025೥11݄7೔ CVE- 202 5 - 31 1 3 3 /

   7 . 3 High(CVSS v 4 ) ‣maskedPaths 実装における競合状態 CVE- 202 5 - 52 5 6 5 / 7 . 3 High(CVSS v 4 ) ‣/dev/console のマウント初期化時の競合 CVE- 202 5 - 52 8 8 1 / 7 . 3 High(CVSS v 4 ) ‣共有マウントを利 用 した /proc への書き込みリダイレクトと LSM 回避 3

4. GitHub Ͱϗετ͞Ε͍ͯΔ OSS ͷ੬ऑੑରԠ 4 あくまでも 一 例 1 .

   脆弱性について報告を受ける 2 . 脆弱性について確認 3 . Security Advisoryの作成 & 関係者を招待 4 . 関係者で議論を 行 い、脆弱性の概要と CVSS などのスコアを設定 5 . CVE をリクエストを 行 い、取得 6 . パッチの作成とレビュー 7 . パッチをマージし、Security Advisory を公開

5. 1 . 脆弱性について報告を受ける 2 . 脆弱性について確認 3 . Security Advisoryの作成

   & 関係者を招待 4 . 関係者で議論を 行 い、脆弱性の概要と CVSS などのスコアを設定 5 . CVE をリクエストを 行 い、取得 6 . パッチの作成とレビュー 7 . パッチをマージし、Security Advisory を公開 GitHub Ͱϗετ͞Ε͍ͯΔ OSS ͷ੬ऑੑରԠ 5 メールなどでのやりとり

6. GitHub ͷ Security Advisor https://github.com/youki-dev/youki/security/advisories/GHSA-4g74-7cff-xcv8 6

7. GitHub ͷ Security Advisor https://github.com/youki-dev/youki/security/advisories/GHSA-4g74-7cff-xcv8 7 　 CVSS 　 CVE

   　 Overview 　 Version

8. 舞台裏 表には 見 えない機能 ࣮͸͍Ζ͍Ζͳػೳ͕͋Δ ‣ٞ࿦ ‣ίϥϘϨʔλͷট଴ 8

9. ೖྗ͢΂͖߲໨ΛຒΊΔͱείΞ͕ͰΔ 9 舞台裏 CVSS

10. 舞台裏 CVE ID Security Advisoryからボタンを押すだけで CVE を取得できる 1 0

11. ちゃんと 見 てくれているので普通に Reject されることも 1 1 舞台裏 CVE ID

12. 舞台裏 パッチの作成とレビュー 方 法 GitHub には temporary private fork という専

    用 の機能がある ‣Org に private fork が作成される ‣関連している 人 のみが 見 られる ‣Pull Request のマージと Security Advisoryが連携する ‣マージするといきなり main のリポジトリに push される 1 2

13. 舞台裏 パッチの作成とレビュー 方 法 難しさ: GitHub Actions が利 用 不可

    🙈 実際にマージして CI が落ちてリリースできなかったことがある 1 3

14. 舞台裏 公開 ‣Dependabot によるアラート ‣CVE ページが更新される • たぶん、GitHub 側が Security

    Advisoryを読んで更新していそう 1 4 https://docs.github.com/en/code-security/security-advisories/working-with-repository-security-advisories/publishing-a-repository-security-advisory

15. GitHub Ͱϗετ͞Ε͍ͯΔ OSS ͷ੬ऑੑରԠ 1 . 脆弱性について報告を受ける 2 . 脆弱性について確認

    3 . Security Advisoryの作成 & 関係者を招待 4 . 関係者で議論を 行 い、脆弱性の概要と CVSS などのスコアを設定 5 . CVE をリクエストを 行 い、取得 6 . パッチの作成とレビュー 7 . パッチをマージし、Security Advisory を公開 1 5 あくまでも 一 例

16. おしまい 16