第2回　Open Source Security Foundation (OpenSSF) 　Meetup　その2（SBOM、SLSA）

2023.07.10

Open Source Security Foundation (OpenSSF)が、第2回のMeetupを開催した。
第2回は、カナダのバンクーバーで開催されたOpenSSF Day North Americaから。その1に続き、今回は、SBOM、SLSA（サルサ）などに関連したトピックの解説を紹介する。文末に、この講演の投影資料、動画をリンクしているので、そちらも参照されたい。

登壇者は、日立製作所研究開発グループサービスシステムイノベーションセンタデジタルエコノミー研究部　山本穂奈美氏だ。

日立製作所は今年から、OpenSSFメンバーに加入し、ソフトウエア・サプライチェーン・セキュリティに注力する。そこで、OpenSSF Day North Americaに参加したという。その中から山本氏は、「SBOM」と「SLSA」といったキーワードをもとに、ソフトウエア・サプライチェーン・セキュリティについて説明した。

SBOMのセッションについて

このセッションは、SBOM　Primerとして、入門編のようなセッションであった。「SBOMとは何か？」「なぜ必要か」「いつ作成して、どう使うか」から、「SBOMの今後」までを紹介する講演であった。

SBOM（Software Bill of Materials:ソフトウエア部品表）は、ソフトウエアを構成するコンポーネントに関する詳細とサプライチェーン関係を記載した記録でのこと。2021年の米国大統領令「国家のサイバーセキュリティの向上に関する大統領令」により、ソフトウエア・サプライチェーン・セキュリティの強化への対応策の一つとして挙げられ、近年特に注目されているものだ。

山本氏は、SBOMの標準フォーマットのうちから3つ、「SPDX」「CycloneDX」「SWID」について解説した。

次に、SBOMの最小限の要件についても説明した。

さらにSBOMの生成ツールについても詳しく説明されているので、ぜひ動画で確認してほしい。

このセッションの最後には、SBOMの今後について解説がなされ、「SBOM for Software」「SBOM for AI」「SBOM for Data」「SBOM for SaaS」というように、SBOMを活用する方針が述べられた。このうち山本氏が興味を惹いたのはSBOM for AIだ。具体的にはこれからのようだが、今後AIでどうSBOMを活用していくかを議論していくことが発表されたとのこと。

また別のセッションでもSBOMについて語られており、そちらについても紹介した。

このセッションでは、DevOpsパイプラインを強化する新しいオープンソース・セキュリティツールを紹介する講演で、５つのフェーズでのセキュリティツールの検討などが紹介された。

紹介されたフェーズでSBOMが関わるところとして、Phase2と3が挙げられる。下記の写真を参考にしてほしい。

以上がSBOMについて紹介されたものである。

SLSAのセッションについて

山本氏は、SBOMに続いて「SLSA」（Supply chain Levels for Software Artifacts）について解説を行った。

SLSAの講演では、SLSA Frameworkの概要とSLSA v1.0がリリースされたことで、そのカバー範囲と効果が説明された。

SLSA Frameworkの概要は、下の写真のようなソフトウエア・サプライチェーンをモデル化したものであるが、Source/Dependency/Buildにおける脅威を「AからH」（Source→Build→Dependencies→Package）まで考え、SLSA v1.0は「EからH」(Build→Package)までの脅威を軽減しようというものだ。

SLSA Frameworkは、「Build Track」「Source Track」「Dependency Track」の3つのトラックで構成されており、それぞれがLevel1から4まである。今回リリースされたSLSA v1.0では、Build TrackのLevel1から3までを対象としている。