本ブログは Takeaways from OpenSSF Day Japan の参考訳です。
Open Source Summit Japan初日の12月5日、Open Source Security Foundation (OpenSSF) はオープンソースソフトウェア (OSS) のセキュリティを改善するための継続的な取り組みについて議論する半日イベントOpenSSF Day Japan 2022を開催しました。この日は、セキュリティのベストプラクティス、脆弱性の発見、重要プロジェクトの保護、OSSセキュリティの将来などのテーマでセッションが行われ、コントリビューターとソートリーダーがOSSセキュリティに関するアイデアと経験を共有しました。
イベントは、OpenSSFのゼネラルマネージャーであるBrian Behlendorfによるプレゼンテーションで始まりました。Behlendorfは、OpenSSFの価値、使命、目的について説明しました。OpenSSFは、産業界およびオープンソース コミュニティの両方と協力して、すべての人のためにオープンソース セキュリティを推進することに取り組んでいます。 OpenSSFは、参加者が高品質で安全なソフトウェアを共有し、セキュアな開発手法を簡単に学習して実装し、脆弱性をタイムリーに開示して修正できるオープン ソース エコシステムをビジョンとして掲げています。
Linux Foundationのオープンソース サプライチェーン セキュリティ担当ディレクターであるDavid A. Wheelerは、ソフトウェア セキュリティとオープンソース ソフトウェアに関する一般的な原則について説明しました。これには、OSSの安全なコーディングプラクティス、脆弱性管理、サプライチェーンセキュリティなどが含まれます。特にOpenSSFのBest Practices Working Groupの作業に焦点を当て、WGが何をしてきたかを示し、OpenSSFが取り組んできたことの例として示しました。このWGは、OSSの開発と評価のベストプラクティスに関する推奨事項を特定・教育し、ソフトウェア開発者が採用するのを支援することを目的としています。
Googleのオープンソース セキュリティ チームでサプライチェーン インテグリティ グループのテクニカルリード兼マネージャーであるBob Callaway氏は、Sigstoreについて発表しました。Sigstoreは、透明性のあるデジタル台帳技術を使用して、ソフトウェアに署名、検証、保護する方法を提供します。デジタル署名プロセスを簡素化・自動化することで、オープンソース ソフトウェアのユーザーと開発者がソフトウェア サプライ チェーンを保護することを支援します。続いて、IBM ResearchのシニアテクニカルスタッフメンバーであるFumiko Satoh氏とYuji Watanabe氏が、ソフトウェア サプライチェーン セキュリティについて、さまざまな角度から議論を展開しました。 Satoh氏は、ソフトウェア サプライチェーンの保護に関するIBMでの取り組みについて説明し、Watanabe氏は、エンドツーエンドのソフトウェア開発ライフサイクルにおけるKubernetesリソース マニフェストの完全性を保証するための手法について説明しました。
次に、サイバートラストのMuuhh Ikeda氏が、2022年8月に開催されたOpen Source Security Summit JapanやOpenSSF Japan Chapterの立ち上げなど、日本におけるオープンソースセキュリティへの最近の取り組みについて説明しました。また「OSSセキュリティのための動員プラン」で示された10ストリームに沿ったサイバートラストのさまざまな取り組みについて詳説しました。最後に、サイボウズのTakuya Yoshikawa氏は、SBOM Everywhereやサプライチェーン マネジメントなどの概念を日本のクラウドサービス プロバイダーに導入する際の課題について説明しました。さらに、将来ISMAPのような日本の認証プログラムにSBOMをより上手く統合する方法について述べました。そして、会合はBehlendorfの閉会の辞で締めくくられました。
Open SSF Day JapanのPlaylistをご覧ください:
Open Source Summit Japan開会の挨拶でLinux Foundationの日本担当VPであるNoriaki Fukuyasuは、OpenSSFの無料トレーニングコース「セキュア ソフトウェア開発」が日本語で受講できるようになったことを発表しました。より多くの開発者が安全なソフトウェア開発の基礎を学ぶための質の高い教材にアクセスできるようになりました。さらに、Summit開始時に、OpenSSFは多くの新メンバーを迎え、メンバー数が100社を超えました。
日本の企業・大学・開発者は、グローバルなオープンソースソフトウェア エコシステムを維持する上で重要な役割を担っています。OpenSSF Day Japanは、オープンソースソフトウェアの安全性を確保するために、日本のパートナーと協力するOpenSSFのコミットメントの表れです。OpenSSFは、サイバートラスト、サイボウズ、ルネサス エレクトロニクスなど日本のOpenSSFメンバーや、日本および世界の他の地域の組織との連携を継続していきます。私たち全員が依存しているデジタル インフラストラクチャを最大限に保護するために、世界中のオープンソース ソフトウェアを維持し、使用している人々と協力することが重要です。