第2回 Open Source Security Foundation (OpenSSF) Meetup その1(プロジェクトの概況報告と米国政府関係者による対談サマリー)
Open Source Security Foundation (OpenSSF)が、第2回のMeetupを開催した。
第2回は、カナダのバンクーバーで開催されたOpenSSF Day North America イベントレポートの紹介が主旨である。
紹介されたのは、以下の三つ。
・プロジェクトの概況報告と米国政府関係者による対談サマリー
・SBOM、SLSA、Woman&Non-binary関連トピック
・Mobilization Plan状況、Sigstore、バンクーバー紹介
今回(その1)は、“プロジェクトの概況報告と米国政府関係者による対談サマリー”について紹介する。
登壇者は、Linux Foundation 日本担当バイスプレジデント 福安 徳晃 氏だ。
このMeetupの主催者でもある福安氏は、開会のあいさつに続いて、OpenSSF Dayで語られたプロジェクトの概況報告、ホワイトハウス、米国政府関係者との対談について紹介した。
OpenSSFの活動報告と今後の活動指針
最初にOpenSSF の責任者であるBrian Behlendord氏が語った活動の概況について、福安氏が最近のものをピックアップして解説した。
まずは、SLSA Ver1.0の紹介である。SLSA(Supply chain Levels for Software Artifact)は、ソフトウエアサプライチェーンの整合性を担保するスペックの一つで、ソフトウエアが改善されていないかなどをチェックするセキュリティフレームワークである。ソフトウエアのスペックの内容が、きちんとしたサプライチェーンで生成されていることを確認するもので、もともとGoogleの社内で使っていたフレームワーkをオープンソースにしたものである。
次に、MicrosoftとGoogleが、$2.5Millionの追加出資をした件、さらには、OpenSSFの新たなメンバーの発表があり、日本からは日立製作所のメンバーシップが発表された。
また、Brian Behlendord氏が責任者であったが、同氏が多忙を極めていたために、“自分はCTOなので、新たにジェネラルマネージャーを招聘したほうがいい”と考えたとのことで、新たな責任者としてOmkher Arasaratnam氏を指名した。
今回のMeetupに向けて、責任者に就任したOmkher氏がのコメントがビデオレターとして紹介された。
会場でも放映された当日の模様は、後日公開される予定なので詳細を確認してほしい(*1)。
「12月に開催予定のOpenSSF Day Japan 2023にOmkher氏は来日予定とのことなので楽しみにしてほしい」と福安氏は予告した。
次に、Brian Behlendord氏は、2023年から2024年についての方向性を語った。
「OpenSSFは、誰が何をやって、どういった機能があるのかがわかりにくいので、それをわかりやすくする。ビジュアル化していきたい。SLSA、SBOM、世の中いろんな開発者が同じスタンダードで、同じプロセスで、同じツールを使って開発している。何かあったときに、トラックをトレースしやすいので、common architectureを作っていきたい」。
米国政府関係者による対談について
この対談は、バイデン大統領に対してナショナルセキュリティのポリシーを提案する担当者と、重要インフラのセキュリティを管轄する担当者の両名に対して、Brian Behlendord氏が質問をする形式でディスカッションが展開された。
まず、ナショナルセキュリティの担当者は、「サイバーセキュリティは、安全保障の観点だけではなく、経済的発展や人権保護などにも重要で、open sourceは米国の国益にとってクリティカルである」と語った。
そこで、Open Source Software Security Initiative(OSSSI)という政策が立てられ、さらには、memory safeについて、open sourceのセキュリティの観点からインターナショナルの視点で考えるべきなどの提案がなされた。
一方、重要インフラ担当者は、「open sourceのセキュリティについては、規制をするのではなく、いかに自分たちがコミュニティの一部になるかという方向で協力を考える」と述べた。
アメリカ政府のために働くエンジニアは、Microsoft、Google、Amazonの3社のエンジニアよりも多いようであるが、「この多くのエンジニアをいかにopen sourceセキュリティについて教育していくか」というのも課題になるとのことである。
open sourceは、米国だけでなく、いかに他の国と関わっていくか、連携していくかが重要であるため、その取り組みについても解説がなされた。
最後に福安氏は、「総じて、アメリカ政府は open sourceを規制という方向性ではなく、自分たちのエンジニアリングリソースをopen sourceに投じていく方向性を示している。したがって、皆さんの開発や事業についての影響度は大きくなるはずだ」と、講演を締めくくった。
その2(SBOM、SLSA、Woman&Non-binary関連トピック)に続く。
この講演のスライドはこちら https://speakerdeck.com/lfj/openssf-day-event-report
*1 6月2日に開催された OSSセキュリティMeetupの映像が公開されたら、こちらで紹介いたします。メールマガジンでも連絡いたしますので、見落としがないようにメルマガの登録をお願いいたします。
メールマガジンの登録はこちら JAPANSecuritySummit Updateメールマガジン – JAPANSecuritySummit Update
