S3C2 Summit 2023-06: Government Secure Supply Chain Summit
matsumokei opened this issue · 4 comments
S3C2 Summit 2023-06で議論された内容について,まとめられている
2. Executive Order 14028 (行政命令)
3. SBOM
4. 新しい依存間関係の選択
5. provenanceとself-attestation
6. LLM
7. 追加の議論
- Executive Order 14028 (行政命令)
May 12, 2021にExecutive Order 14028が発行された.米国政府に重要なソフトウェアを提供する組織に対して,ソフトウェアとソフトウェアサプライチェーンのセキュリティと完全性を改選することを求めた要請の事.
業界がSBOMにとらわれすぎており,認証を含めた他の側面が不十分になっていることが指摘されている.例えば,EOでは,NISTのSSDF (Secure Software Development Framework)に従うattestaionを利用することを求めている.attestaionプロセスは現在多くの企業で手作業で行われているが,自動化できるはず
EOがSBOMを作成すべきであると述べているだけで,そのデータで何を行うべきか?を記述していない.
Open question
- attestationの自動化と拡張性を高めるにはどうすればよいか?
3. SBOM
SBOMとは、ソフトウェア構成または製品を構築する「成分」の入れ子式の部品表であり、ソフトウェア・システムのサードパーティ・コンポーネントを識別し、追跡するのに役立つ。EOは、連邦政府にソフトウェアを販売する企業は、National
Telecommunications and Information Administration (NTIA)の最小要素に準拠した完全なSBOMを発行しなければならないとしている。
- Vulnerability Exploitability eXchange (VEX) information
- productが既知の脆弱性の影響を受けているかを示すセキュリティ勧告の一種
- SBOMには,VEXの補足情報を添付することができる.
SBOMの出力がツール間で一貫していない.
組み込みソフトウェアツールのサポートは遅れている.
SBOMへの署名の必要性
自分も重要だと考えている,そもそも,SBOMで何ができるのかは議論されている
5. SELF-ATTESTATION AND PROVENANCE
EO14028では
- conformity with secure software development practices
secureなソフトウェア開発プラクティスへの準拠 - the integrity and provenance of open-source software used within any portion of a product
製品のあらゆる部分で使用されるオープンソースソフトウェアの完全性とprovenance (来歴)
Attestaion
SSDFの問題点について,具体性がなく,自由度が高いことを指摘
SSDFの整合性要件とCMMC (失敗したといっている)を比較,ここで,CMMC(Cybersecurity Maturity Model Certification)とは、米国国防総省(DoD:United States Department of Defense)が発行するフレームワークの一つで、日本語では「サイバーセキュリティ成熟度モデル認証」と訳される.
- SSDF との整合性の評価 (SSDFにどのくらい一致するか)はどの程度まで自動化できるか?
- セキュリティの他の指標と比較して、どの程度までprovenanceに重点を置くべきか。
- attestaionデータはどのように共有され、利用されるのか。