採用情報

お問い合わせ

BLOG

OSS セキュリティ BLOG

OSS セキュリティ BLOG

2022 年 07 月 15 日

【前編: OpenSSF Day】OpenSSF Day / Open Source Summit North America 2022 に参加してきました

サイバートラスト株式会社 IoT 技術本部 池田宗広

はじめに

2022 年 6 月 20 日から 24 日の日程で開催された The Linux Foundation 主催のオープンソースイベントに参加してきました。会場の様子、ホットなトピックやセッションをご紹介します。
参加したイベントは、6 月 20 日の OpenSSF Day と、6 月 21 日から 24 日の Open Source Summit North America 2022(以下「OSSNA」と略)です。この記事は「前編」として OpenSSF Day について書きたいと思います。OSSNA については「後編」で改めてお届けします。

OpenSSF Day は OSSNA のプレイベントという位置づけで、OpenSSF ※1 関連の活動について一日かけて共有と議論を行う場です。今回の OpenSSF Day / OSSNA は、米国テキサス州オースティンで開催されました。

※1
OpenSSF

オースティン到着

成田空港からオースティン・バーグストロム空港までは、ダラス・フォートワース空港での乗り継ぎを含めて 15 時間の長旅です。コロナ禍が始まってこの方、海外はおろか飛行機に乗るのも久しぶりです。「Beef or chicken?」と聞かれたら「I am a chicken」と答えるんだったっけ?などと考えているうちに無事オースティンまで到着しました。機内食はお魚か卵料理でした。
成田空港はまだガラガラで免税店も半分くらいは閉まっていましたが、アメリカの空港はコロナ禍前と変わらないのではないかと思うほど人流が戻っていました。

 オースティン・バーグストロム空港


空港から外に出ると、暑い!タクシーの外気温計は 100 度を指していました。アメリカは華氏なので、摂氏で言うと 37℃ですね。運転手さんによると、6月でこの暑さは異常だとのこと。
午後2時くらいにはホテルに着いたので、街の様子を探索してみました。オースティンはテキサス州の州都であり、州議会があります。

ホテルから州議会までは歩いてほんの10~20分程度ですが、あまりに暑いため早々に切り上げて明日からの準備に励むことにしました。(準備 = 明日居眠りしないように早く寝る)

 州議会

OpenSSF Day

さていよいよ OpenSSF Day の開始です。時差ボケしまくりの妙なテンションで元気に会場入りしました。
会場参加者は目算で 150 名程度です。名札を見るに北米からの参加者が圧倒的に多いですが、欧州、中国からも複数の参加者が見られました。日本からの参加者は筆者含め2名のみと、少々寂しい状況です。

OpenSSF Day 会場

MC の Christopher 'CRob' Robinson リードの元、10 余りのセッションで活動の共有と議論が行われました。冒頭のキーノートでは Amazon OSPO ヘッドである Ntha A. Ruff 氏から

GNU、FSF、GPL で始まった OSS は今や Web、クラウド、電子政府の基幹要素でありセキュリティに対する責任がある。企業の論理から見ても OSS コミュニティに参加する必要性は非常に高いということを、経営層や管理層はより一層理解する必要がある。

という力強いメッセージがありました。筆者が初めて OSS ~当時はフリーソフトウェアという言葉しかありませんでしたが~ に初めて触れた時、そのパワーを確かに感じたことで筆者は今ここにいるのですが、それでもまさかここまでの存在になるとは夢にも思っていませんでした。

この日、OpenSSF Day で議論された主なトピックは以下の4点でした。

  • Alpha-Omega プロジェクト
  • 開発者へのセキュリティ教育
  • サプライチェーンセキュリティ
  • リージョナルコミュニティ

Alpha-Omega プロジェクト

Log4Shell を発端として 2022 年 1 月に Security Summit @ Whitehouse、2022 年 5 月に Security Summit II が開かれ、OSS のセキュリティを向上するためのプロジェクトである「Alpha-Omega プロジェクト」が立ち上がりました。このプロジェクトの一環として、Sucurity Summit II では "The Open Source Software Security Mobilization Plan" と題する 3 つのゴールと 10 の streams(活動目標)が定義されています ※2 ※3。現在までに活動資金として 30M USD を確保したとのこと。向こう 2 年間で 150M USD が必要とみているが、過去のセキュリティ問題への対応に費やされた費用と比較するとこれは決して大きな金額ではないという見解が OpenSSF General Manager の Brian Behlendorf 氏から示されました。

また Microsoft の Michael Scovetta 氏および Google の Michael Winser 氏は、Alpha-Omega プロジェクトは OSS のセキュリティを強化・向上するための大きな実験であるとした上で、 Node.js に加えて Python Software Foundation、Eclipse Foundation へのファンドを Alpha-Omega プロジェクトとして決定したという発表がありました。

※2
Open Source Security Mobilization Plan (英語)
※3
Linux Foundation と Open Source Software Security Foundation (OpenSSF)、業界と政府のリーダーを集めたオープンソースソフトウェアセキュリティサミット II を開催(日本語)

開発者へのセキュリティ教育

The Linux Foundation の Open Source Supply Chain Security ディレクターである David A Wheeler 氏は、セキュリティスキャニングツールもセキュアな API も作るのは結局セキュリティに詳しいエンジニアなので、OSS のセキュリティ向上に対するいま最も重要な課題は教育であると主張します。OpenSSF は "Secure Software Development Fundamentals Courses" ※4 という教育プログラムを提供しており、現状これが基幹となる教育コンテンツとのこと。教育コンテンツも OSS であり、改善は Github レポジトリ ※5 への Pull Request で送ってほしいということです。

教育コンテンツの拡充は逐次行っており、Sigstore と DevSecOps についての教材が近々登場するとのこと。"Secure Software Development Fundamentals Courses" と合わせて OSS 開発者にはマストの教育コースになりそうですね。

※4
Secure Software Development Fundamentals Courses (英語)
※5
secure-sw-dev-fundamentals: Secure Software Development Fundamentals courses (from the OpenSSF Best Practices WG) (Github レポジトリ)

サプライチェーンセキュリティ

Cisco Systems の OS Tech Leader である Julia Ferraioli 氏は、どんな OSS を使用しているか、どの OSS がクリティカルかを誰も把握していないのが現状の問題である、とします。これを明らかにするのが SBOM に代表されるサプライチェーンセキュリティの強化です。ただ、どの程度クリティカルかを示す定量的な指標が必要だが、OSS は依存関係が複雑かつ変わりやすいので簡単ではないという課題があると述べました。

昨年の 2021 年 には SBOM のフォーマットである SPDX が ISO/IEC 5962 として標準化されるなど ※6、OSS のサプライチェーンセキュリティに対する関心が高まっています。今後もこの分野で様々な動きがあると予想されます。

※6
SPDX Becomes Internationally Recognized Standard for Software Bill of Materials

リージョナルコミュニティ

OSS は世界中の開発者からの貢献で成り立っており、そこに国境はありません。しかし現実には国、地域、言語、時差など、開発者が OSS コミュニティに参画するにあたっての障壁はゼロではありません。世界中の開発者が協力して OSS セキュリティの向上にあたるには、これらの障壁をできるだけ下げる必要があります。
OpenSSF GM の Brian Behlendorf 氏から、OSS セキュリティ強化については米国以外の政府へも働きかけを行っているという発表がありました。具体的には欧州、日本、シンガポールへアプローチを行っているとのこと。また中国では SIG(Special Interest Group)を立ち上げて、時差と言語のハードルを下げる試みを行っているとのことです。

日本も負けてはいられない!と思ったのですが、見回すと日本からの参加者は2人だけ ... ただ、壇上の Brian Behlendorf 氏から「日本からはサイバートラストが会場に来ている」とうれしい言及があり、図らずも日本のプレゼンスを示せたのではないかと!日本の皆さん、頑張ってニッポンここにありを示していこうではありませんか。

後編へつづく

セッションが夕方に終わった後、夜は OSS イベント恒例のソーシャルイベントが開催されました。ソーシャルイベントというのは、まあ平たく言えば飲み会ですね。会場近くのバーを借り切って参加者同士の交流を深める場です。東に飲み会があると聞けば俺も入れろといい、西に飲み会があると聞けば俺も行っていい?ダメでも行くけどと押しかけることをドグマとして生きている筆者は当然参加します。

意気揚々と会場に乗り込んでから毎回思い出すのですが ... 会場は結構うるさいので、英語で会話するのが難しい!というかほとんどムリ!ただでさえ難儀しているというのに、このうるささの中で筆者の英会話能力はほとんどイヌかネコのレベルです。でもね、そんなことはある意味どうでも良いのです。要は、話したいことがあるかどうかですから。全ての会話で三回以上、What? Sorry? Pardon? を繰り返す怪しげな東洋人に付き合ってくださった皆様、ホントにありがとうございました。

Open Source Summit North America 2022 の様子は 後編 にて。


本記事に関連するリンク
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime