Anúncio
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf

Check these out next

CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
Riotaro OKADA
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
Takeshi Fukuhara
IoT開発を支える技術の今とこれから
IoT開発を支える技術の今とこれから
Microsoft Co., Ltd.
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
Takeshi Fukuhara
2016-ShowNetステージ-ShowNetを守るセキュリティ
2016-ShowNetステージ-ShowNetを守るセキュリティ
Interop Tokyo ShowNet NOC Team
RISC-Vのセキュリティ技術(TEE, Root of Trust, Remote Attestation)
RISC-Vのセキュリティ技術(TEE, Root of Trust, Remote Attestation)
Kuniyasu Suzaki
ServerlessDays Tokyo 2022 Virtual.pdf
ServerlessDays Tokyo 2022 Virtual.pdf
Google Cloud Platform - Japan
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
NTT DATA Technology & Innovation
1 de 26

ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf

14 de Mar de 2023
Baixar para ler offline
Tecnologia

コンテナ共創センター勉強会#22 公開資料①

FumieNakayama
Anúncio
Anúncio
Anúncio

Recomendados

セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]Takeshi Takahashi923 visualizações66 slides
BitVisor Summit 3 「BitVisorの現状と今後」BitVisor Summit 3 「BitVisorの現状と今後」
BitVisor Summit 3 「BitVisorの現状と今後」Takahiro Shinagawa3.1K visualizações39 slides
【Log Analytics Tech Meetup】Beatsファミリーの紹介【Log Analytics Tech Meetup】Beatsファミリーの紹介
【Log Analytics Tech Meetup】Beatsファミリーの紹介Hibino Hisashi2.7K visualizações20 slides
[ハードウェア編] クラウドネイティブアーキテクチャとIoTセキュリティ・バイ・デザイン[ハードウェア編] クラウドネイティブアーキテクチャとIoTセキュリティ・バイ・デザイン
[ハードウェア編] クラウドネイティブアーキテクチャとIoTセキュリティ・バイ・デザインEiji Sasahara, Ph.D., MBA 笹原英司26 visualizações56 slides
ネットワークから学ぶソフトウェアセキュリティの基礎ネットワークから学ぶソフトウェアセキュリティの基礎
ネットワークから学ぶソフトウェアセキュリティの基礎Yasuo Ohgaki3K visualizações30 slides
Modernization of IT Infrastructure by Microsoft AzureModernization of IT Infrastructure by Microsoft Azure
Modernization of IT Infrastructure by Microsoft AzureTakeshi Fukuhara243 visualizações82 slides

Mais conteúdo relacionado

Similar a ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf(20)

CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
Riotaro OKADA4 visualizações
Microsoft Intelligent Edge TechnologiesMicrosoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
Takeshi Fukuhara419 visualizações
IoT開発を支える技術の今とこれからIoT開発を支える技術の今とこれから
IoT開発を支える技術の今とこれから
Microsoft Co., Ltd.425 visualizações
Microsoft Intelligent Edge TechnologiesMicrosoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
Takeshi Fukuhara175 visualizações
2016-ShowNetステージ-ShowNetを守るセキュリティ2016-ShowNetステージ-ShowNetを守るセキュリティ
2016-ShowNetステージ-ShowNetを守るセキュリティ
Interop Tokyo ShowNet NOC Team332 visualizações
RISC-Vのセキュリティ技術(TEE, Root of Trust, Remote Attestation)RISC-Vのセキュリティ技術(TEE, Root of Trust, Remote Attestation)
RISC-Vのセキュリティ技術(TEE, Root of Trust, Remote Attestation)
Kuniyasu Suzaki187 visualizações
ServerlessDays Tokyo 2022 Virtual.pdfServerlessDays Tokyo 2022 Virtual.pdf
ServerlessDays Tokyo 2022 Virtual.pdf
Google Cloud Platform - Japan111 visualizações
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
NTT DATA Technology & Innovation1.2K visualizações
Tomorrow's software testing for embedded systems ~明日にでも訪れてしまう組込みシステムのテストの姿~Tomorrow's software testing for embedded systems ~明日にでも訪れてしまう組込みシステムのテストの姿~
Tomorrow's software testing for embedded systems ~明日にでも訪れてしまう組込みシステムのテストの姿~
Yasuharu Nishi3.4K visualizações
【de:code 2020】 GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ【de:code 2020】 GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ
【de:code 2020】 GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ
日本マイクロソフト株式会社207 visualizações
アーキテクトが主導するコンテナ/マイクロサービス/サーバーレスのセキュリティアーキテクトが主導するコンテナ/マイクロサービス/サーバーレスのセキュリティ
アーキテクトが主導するコンテナ/マイクロサービス/サーバーレスのセキュリティ
Eiji Sasahara, Ph.D., MBA 笹原英司369 visualizações
IoT祭り2019 Azure Sphereの今(高解像度)IoT祭り2019 Azure Sphereの今(高解像度)
IoT祭り2019 Azure Sphereの今(高解像度)
Takashi Matsuoka1.6K visualizações
DX 時代の新たなソフトウェア工学に向けて: SWEBOK と SE4BS の挑戦DX 時代の新たなソフトウェア工学に向けて: SWEBOK と SE4BS の挑戦
DX 時代の新たなソフトウェア工学に向けて: SWEBOK と SE4BS の挑戦
Hironori Washizaki1.8K visualizações
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA857 visualizações
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
Kuniyasu Suzaki1.3K visualizações
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践 -組込み製品の潜在的価値を今以上に高めるために-
Yoshio SAKAI671 visualizações
Azure Digital Twins 最新事例紹介 ( IoTビジネス共創ラボ 第16回勉強会 )Azure Digital Twins 最新事例紹介 ( IoTビジネス共創ラボ 第16回勉強会 )
Azure Digital Twins 最新事例紹介 ( IoTビジネス共創ラボ 第16回勉強会 )
Takeshi Fukuhara1.4K visualizações
Azure Digital Twins最新事例紹介Azure Digital Twins最新事例紹介
Azure Digital Twins最新事例紹介
IoTビジネス共創ラボ690 visualizações
レガシー Web からの脱却 ~ 開発者が次に目指すべき Web アプリの姿とは?レガシー Web からの脱却 ~ 開発者が次に目指すべき Web アプリの姿とは?
レガシー Web からの脱却 ~ 開発者が次に目指すべき Web アプリの姿とは?
Akira Inoue1.4K visualizações
Zabbixをもっと便利に!安全に!Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!
Takashi Matsunaga1.6K visualizações

Mais de FumieNakayama(6)

OpenShiftで実現するプラットフォーム・エンジニアリングにおけるDevSecOpsの価値.pdfOpenShiftで実現するプラットフォーム・エンジニアリングにおけるDevSecOpsの価値.pdf
OpenShiftで実現するプラットフォーム・エンジニアリングにおけるDevSecOpsの価値.pdf
FumieNakayama131 visualizações
実例に学ぶ、クラウドネイティブセキュリティの勘所.pdf実例に学ぶ、クラウドネイティブセキュリティの勘所.pdf
実例に学ぶ、クラウドネイティブセキュリティの勘所.pdf
FumieNakayama129 visualizações
クラウドネイティブ最新技術動向.pdfクラウドネイティブ最新技術動向.pdf
クラウドネイティブ最新技術動向.pdf
FumieNakayama45 visualizações
NGINX Ingress Controller on RedHat OpenShift.pdfNGINX Ingress Controller on RedHat OpenShift.pdf
NGINX Ingress Controller on RedHat OpenShift.pdf
FumieNakayama152 visualizações
NGINX Ingress Controllerで実現するセキュリティ.pdfNGINX Ingress Controllerで実現するセキュリティ.pdf
NGINX Ingress Controllerで実現するセキュリティ.pdf
FumieNakayama144 visualizações
k8sとOpenShiftの違いとは.pdfk8sとOpenShiftの違いとは.pdf
k8sとOpenShiftの違いとは.pdf
FumieNakayama152 visualizações
Anúncio

Último(20)

Üslup ve tercüme.pdfÜslup ve tercüme.pdf
Üslup ve tercüme.pdf
1Hmmtks2 visualizações
JSONEncoderで詰まった話JSONEncoderで詰まった話
JSONEncoderで詰まった話
とん とんぼ144 visualizações
OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)
OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)
NTT DATA Technology & Innovation166 visualizações
Wandb LLM Webinar May 30 2023 (配布用).pdfWandb LLM Webinar May 30 2023 (配布用).pdf
Wandb LLM Webinar May 30 2023 (配布用).pdf
Yuya Yamamoto65 visualizações
OIDC(OpenID Connect)について解説③OIDC(OpenID Connect)について解説③
OIDC(OpenID Connect)について解説③
iPride Co., Ltd.25 visualizações
【DL輪読会】DINOv2: Learning Robust Visual Features without Supervision【DL輪読会】DINOv2: Learning Robust Visual Features without Supervision
【DL輪読会】DINOv2: Learning Robust Visual Features without Supervision
Deep Learning JP74 visualizações
JSTQB_テストプロセスの概念モデル.pdfJSTQB_テストプロセスの概念モデル.pdf
JSTQB_テストプロセスの概念モデル.pdf
akipii Oga259 visualizações
ChatGPT触ってみたChatGPT触ってみた
ChatGPT触ってみた
infinite_loop62 visualizações
DrupalをDockerで起動してみるDrupalをDockerで起動してみる
DrupalをDockerで起動してみる
iPride Co., Ltd.22 visualizações
SoftwareControl.pdfSoftwareControl.pdf
SoftwareControl.pdf
ssusercd992815 visualizações
通信プロトコルについて通信プロトコルについて
通信プロトコルについて
iPride Co., Ltd.7 visualizações
触感に関わる共感覚的表現と基本6感情の対応関係の検証触感に関わる共感覚的表現と基本6感情の対応関係の検証
触感に関わる共感覚的表現と基本6感情の対応関係の検証
Matsushita Laboratory22 visualizações
SoftwareControl.pdfSoftwareControl.pdf
SoftwareControl.pdf
ssusercd99287 visualizações
PCベース制御による集中制御.pdfPCベース制御による集中制御.pdf
PCベース制御による集中制御.pdf
ssusercd992819 visualizações
ヘッドレス化したbaserCMS5とその機能ヘッドレス化したbaserCMS5とその機能
ヘッドレス化したbaserCMS5とその機能
Ryuji Egashira10 visualizações
Forguncy製品概要.pptxForguncy製品概要.pptx
Forguncy製品概要.pptx
フォーガンシー127 visualizações
社内ソフトスキルを考える社内ソフトスキルを考える
社内ソフトスキルを考える
infinite_loop90 visualizações
JSAI2023_企画セッション(仕掛学)資料JSAI2023_企画セッション(仕掛学)資料
JSAI2023_企画セッション(仕掛学)資料
Matsushita Laboratory24 visualizações
20230602_enebular_meetup_kitazaki_v1.pdf20230602_enebular_meetup_kitazaki_v1.pdf
20230602_enebular_meetup_kitazaki_v1.pdf
Ayachika Kitazaki39 visualizações
《杨百翰大学毕业证|学位证书校内仿真版本》《杨百翰大学毕业证|学位证书校内仿真版本》
《杨百翰大学毕业证|学位证书校内仿真版本》
d520dasw122 visualizações

ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf

  1. ソフトウェアサプライチェーン セキュリティの最新技術動向 渡邊 裕治 ⽇本IBM 東京基礎研究所 2023年2⽉22⽇ コンテナ共創センター勉強会 #22
  2. 渡邊 裕治 @yuji.watanabe.jp STSM, IBM Research Software Supply Chain Security (Risk & Integrity for Ansible/CICD/GitOps) twitter.com/ywatan1 linkedin.com/in/yuji-watanabe-0108322/ github.com/yuji-watanabe-jp ⾃⼰紹介
  3. 本⽇の内容 • ソフトウェアサプライチェーンセキュリティ - 課題と技術動向 – • CNCF KubeCon + CloudNativeCon (略称Kubecon)発表参加報告
  4. ソフトウェアサプライチェーン周りのキーワード • SBOM (ソフトウェア部品表) • ビルド・プロベナンス(来歴) • ビルド・アーティファクト(成果物) • 脆弱性スキャン • VEX = Vulnerability Exploitability eXchange (脆弱性の補助情報、影響や修正の有無等) • SLSA = Supply-chain Levels for Software Artifact (フレームワーク) • Sigstore (署名) • OpenSSF (Linux Foundationのプロジェクト)
  5. Sigstoreプロジェクト オープンソース開発者が署名を 使いやすくする • 様々な開発ツールと統合する • 鍵管理を容易にする(キーレ ス署名) • OpenID Connectを使って誰の署 名か検証しやすくする
  6. エンドツーエンドのサプライチェーン source build package deliver maintain use
  7. アプリをクラスターにデプロイする Registry CI Pipeline Git Repo Git Repo (Source) Manifest Image CD Pipeline Image Application Cluster build & package deploy & maintain アプリをデプロイする際にイメージとマニフェストが⽤いられる
  8. デリバリー時のインテグリティの課題 Registry CI Pipeline Git Repo Git Repo (Source) Manifest Image CD Pipeline Image Application Cluster build & package deploy & maintain イメージの改ざん YAMLマニフェストの 改ざん デプロイした後の マニフェストの改 ざん
  9. サプライチェーンのインテグリティ保護 Registry CI Pipeline Git Repo Git Repo (Source) Manifest Image CD Pipeline Image Application Cluster build & package deploy & maintain インテグリティを保護するために・・・
  10. サプライチェーンのインテグリティ保護 Registry CI Pipeline Git Repo Git Repo (Source) Manifest Image CD Pipeline Image Application Cluster build & package deploy & maintain SIG SIG SIG SIG SIG SIG SIG インテグリティを保護するために・・・ イメージの署名 +YAMLマニフェストの署名
  11. Controller Current State Desired State Kubernetes リソースマニフェスト • Kubernetesは declarativeな構成管理シ ステム • ユーザは、desired stateをYAMLでGitレ ポなどに定義します。 • Kubernetesのコントローラーはdesired stateになるようにシステム構成を管 理します。
  12. 1⾏インストールの危険性 curl -sL https://xxxx/install.sh | bash kubectl create -f https://xxxxxx/manifests.yaml modify modify
  13. YAMLマニフェスト署名 kubectl sigstore sign -f test-deployment.yaml -k cosign.key
  14. k8s-manifest-sigstore https://github.com/sigstore/k8s-manifest-sigstore k8s-manifest-sigstore • Kubernetesリソースのマニフェスト署名・検 証のためのCLIとライブラリ • Sigstoreのcosignに基づく (Sigstore =署名・検証によるソフトウェアの保 護に向けたオープンソースプロジェクト) • YAML署名・検証のロジックを提供 • 署名をアノテーションとして添付
  15. Kyverno • Kubernetesネイティブなポ リシーエンジン • PolicyもReportもKubernetes リソース • Kubernetesリソースの検 証・変更・⽣成が可能
  16. k8s-manifest-sigstore CLI https://github.com/sigstore/k8s-manifest-sigstore Kyverno Kyverno Policy rules: validate: manifests: K8s resource K8s resource kubectl sigstore sign -f cm.yml --key cosign.key Signature check K8s-manifest-sigstore マニフェストを保護する • YAMLリソースを Sigstore CLIで署名する • Kyvernoを使ってリソースの署名を検証する (v1.8.0から有効) https://youtu.be/NsuhabTaJTE
  17. マルチクラスター管理のポリシーの インテグリティを保護する ハブ・クラスター Policy Policy Policy sig 管理対象クラスター Policy Policy 署名されたポリ シーのみ有効 Admission Control Policy Admission Control ポリシーが署名なし で変更されたらブ ロック apply apply apply 署名 Policy Policy Policy Kyverno Integrity Shield https://youtu.be/1grSrQ2daxI
  18. 処理内容(プロベナ ンス)の記録 Interlace – "trust but verify" アプローチ Git Repo Source Materials Signer Cluster Admission Control SIG ArgoCD Build Deploy ⽣成されたマ ニフェスト Interlace マニフェストへの署名付与 ソースの 署名検証 Interlaceは、より強固なインテグリティ検証のた めにArgoCDのGitOps同期を機能拡張します。 SIG https://youtu.be/dcCbtYrbjzE
  19. CNCF KubeCon + CloudNativeCon (略称Kubecon)発表参加報告
  20. CNCF = Cloud Native Computing Foundation https://landscape.cncf.io
  21. CNCF KubeCon + CloudNativeCon • CNCFのフラグシップ会議、年2回開催 (ヨーロッパと北⽶) • メイントラックと多数の共催イベントから構成される • 今回@デトロイト: 16986⼈ (7403⼈が現地参加, ⽇本⼈: 合計40名程度) • コロナ前(Kubecon + Cloud Native Con NA 2019): 11981⼈ • 2023年: 4⽉ アムステルダム、11⽉ シカゴ
  22. よく出てくるワード WASM, eBPF, Sigstore, GitOps, Edge, Supply Chain, Mesh 約⼆週間後にほぼ全部の講演が YouTubeで視聴可能になります。
  23. 480社からの1187件の講演申 込の中から148件だけメイン トラックに採録される (採録率12%) このうち13件がIBMの講演 他に13件の共催イベントでの IBM講演 (Ref) https://www.cncf.io/blog/2022/03/09/inside-the-numbers-the-kubecon- cloudnativecon-selection-process-for-europe-2022/
  24. IBMブース
  25. Thank you! Q & A Resources Interlace - https://github.com/argoproj-labs/argocd-interlace Manifest Signing - https://github.com/sigstore/k8s-manifest-sigstore Integrity Shield - https://github.com/stolostron/integrity-shield Kyverno - https://github.com/kyverno/kyverno Ansible Risk Insight - https://github.com/rurikudo/ansible-risk-insight Yuji Watanabe twitter.com/ywatan1 linkedin.com/in/yuji-watanabe-0108322/ github.com/yuji-watanabe-jp
Anúncio