第2回　Open Source Security Foundation (OpenSSF) 　Meetup　その3 （Mobilization Plan & Sigstore)

2023.08.01

Open Source Security Foundation (OpenSSF)が、第2回のMeetupを開催した。Meetup第2回は、カナダのバンクーバーで開催された「OpenSSF Day North America」の模様を紹介したものである。その３では、「ここまでのセッションでカバーされていない項目について、すべてを網羅する」という司会者の紹介から始まった。

続いてサイバートラスト OSS/IoT技術本部製品開発統括リードアーキテクト池田宗広氏が登壇し、「すべてをカバーすることは無理であるが、２つ興味深いセッションがあったので紹介したい」と話を切り出して講演をスタートさせた。

Mobilizing for the Mobilization Plan

まずはOpenSSF Day North Americaで開催されたインテルのクロム氏によるセッションから、「Mobilizing for the Mobilization Plan」について解説がなされた。

OSS Security を強化改善するための活動指針として、このMobilization Planでは「セキュアなOSSの作成」「脆弱性の検出と修復の強化」「エコシステムのバッチ応答時間の短縮」という3つのゴールが掲げられ、それらを実現するための10の問題を定義・特定し、解決に向けた活動が進められている。Mobilization Planでは、それぞれの活動にかかる人的リソースおよびコストが示されている。

10の活動を見ると、あくまで池田氏の所感とのことだが、「活発なものと、そうでないものに分かれてしまっている」とのことだ（下図参照）。

活動が活発なものとしては、まずは開発マネージャーへのトレーニングコースの開発、DEI（今回キーワードだった）にフォーカスした教育コースの整備などを含め、セキュリティ教育は注力されているようだ。

また、デジタル署名、メモリセーフ、SBOMなども、活発な活動として挙げられる。ただ、SBOMについては、活発に議論されているようではあるが、「進みが遅い」といった懸念もあるそうだ。

一方、あまり進みがよくないものは、「スキャニングの改善」「コード監査」「データ共有」などが挙げられるとした。一方で、サプライチェーンの改善は順調なようで、その中でも「SBOM生成を自動的に行うための一貫したツール群を定義しようとしている点は注目に値するかもしれない」と池田氏は述べた。

今後のプランについては、Mobilization Planという言葉自体があいまいであったという反省から「もう少し具体的にすべく、各活動において計画を練る必要がある」とされたようだ。また、活動の状況も可視化されておらず、活発な活動とそうでもない活動が存在するため、今後はWGへの参加や連携で解決がされることに期待を寄せているようだ。
そして、現行のプランや活動をそのまま維持するのではなく、2023年中に改定を予定しているとのことだ。

Getting involved in Sigstore Research Projects

もう一つの大きなテーマは、Sigstoreの強化、参加推進についてである。講演のタイトルにあるように、Sigstore Research Projectsなので、「少し将来を見据えた、大きな話であるようだ」と池田氏はコメントした。そもそも、Sigstoreは、コードやアーティファクトに署名を付けて、それがどこからのものかをわかるようにするものである。

通常、デジタル署名は、鍵を使って署名するものであり、署名する人の秘密鍵が必要になる。Sigstoreは発想の転換で1回使った秘密鍵をすぐに捨ててしまう。そこで、「その時点で秘密鍵が有効であった」というログをのちに検証する。従って、本人の証明が鍵からログに移るために、ログは改ざんされてはならないというものだ。

Sigstoreが貢献できるものはプライベートデータの保護であるが、池田氏は、「ここは少し難しい。使える情報としてはZero Konwledge Proof（ZKP）である。これは、知られたらいけない情報を表に出すことなく、自だけが知っていることを証明するものである」と説明した。また、クライアントがサーバーと通信していることを保証する「Verifiable Random Function」（VRF）、何をインストールしようとしているかの情報をログクエリにも与えない「Privacy information Retrieval」（PIR）も紹介した。

次に、ログが増えてくるとスケーラビリティが求められ、透明性ログのスケーラビリティが必要になる。さらに認証ポリシーについても、ポリシー言語をクライアントに採用しているという。コンテナをデプロイするときに、どういうものをデプロイするべきか、ポリシーに反しているものはデプロイさせない仕組みと連携する。人の認証をする際に、デバイス認証に繋げる。こういったものに、Sigstoreが貢献できるのではないかという発表があったそうだ。

このほかにも、The Update FrameworkでのSigstoreの活用、Roughtimeの利用についても解説しているので、ぜひ動画でも確認していただきたい。

Open Source Security Foundation (OpenSSF)が開催するMeetupは今後も定期的に開催される。 JapanSecuritySummit Updateでその模様を紹介していくが、ご興味がある方は、ぜひ会場にも足を運んではいただけると幸いである。次回の開催については、https://www.linuxfoundation.jp/　で公表されるので、確認をしてほしい。

当日の講演スライドおよび動画はすでに公開されているので、詳細については下記を参照にしてほしい。講演スライドはこちら

動画はこちら　https://youtu.be/ThNK6Fqs-nM