Enviar pesquisa
Carregar
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
•
0 gostou
•
124 visualizações
F
FumieNakayama
Seguir
コンテナ共創センター勉強会#22 公開資料①
Leia menos
Leia mais
Tecnologia
Vista de apresentação de diapositivos
Denunciar
Compartilhar
Vista de apresentação de diapositivos
Denunciar
Compartilhar
1 de 26
Baixar agora
Baixar para ler offline
Recomendados
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
Takeshi Takahashi
BitVisor Summit 3 「BitVisorの現状と今後」
BitVisor Summit 3 「BitVisorの現状と今後」
Takahiro Shinagawa
【Log Analytics Tech Meetup】Beatsファミリーの紹介
【Log Analytics Tech Meetup】Beatsファミリーの紹介
Hibino Hisashi
[ハードウェア編] クラウドネイティブアーキテクチャとIoTセキュリティ・バイ・デザイン
[ハードウェア編] クラウドネイティブアーキテクチャとIoTセキュリティ・バイ・デザイン
Eiji Sasahara, Ph.D., MBA 笹原英司
ネットワークから学ぶソフトウェアセキュリティの基礎
ネットワークから学ぶソフトウェアセキュリティの基礎
Yasuo Ohgaki
Modernization of IT Infrastructure by Microsoft Azure
Modernization of IT Infrastructure by Microsoft Azure
Takeshi Fukuhara
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策
Takayuki Ushida
TERAS Conference
TERAS Conference
Keiju Anada
Recomendados
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
Takeshi Takahashi
BitVisor Summit 3 「BitVisorの現状と今後」
BitVisor Summit 3 「BitVisorの現状と今後」
Takahiro Shinagawa
【Log Analytics Tech Meetup】Beatsファミリーの紹介
【Log Analytics Tech Meetup】Beatsファミリーの紹介
Hibino Hisashi
[ハードウェア編] クラウドネイティブアーキテクチャとIoTセキュリティ・バイ・デザイン
[ハードウェア編] クラウドネイティブアーキテクチャとIoTセキュリティ・バイ・デザイン
Eiji Sasahara, Ph.D., MBA 笹原英司
ネットワークから学ぶソフトウェアセキュリティの基礎
ネットワークから学ぶソフトウェアセキュリティの基礎
Yasuo Ohgaki
Modernization of IT Infrastructure by Microsoft Azure
Modernization of IT Infrastructure by Microsoft Azure
Takeshi Fukuhara
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策
Takayuki Ushida
TERAS Conference
TERAS Conference
Keiju Anada
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
Riotaro OKADA
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
Takeshi Fukuhara
IoT開発を支える技術の今とこれから
IoT開発を支える技術の今とこれから
Knowledge & Experience
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
Takeshi Fukuhara
2016-ShowNetステージ-ShowNetを守るセキュリティ
2016-ShowNetステージ-ShowNetを守るセキュリティ
Interop Tokyo ShowNet NOC Team
RISC-Vのセキュリティ技術(TEE, Root of Trust, Remote Attestation)
RISC-Vのセキュリティ技術(TEE, Root of Trust, Remote Attestation)
Kuniyasu Suzaki
ServerlessDays Tokyo 2022 Virtual.pdf
ServerlessDays Tokyo 2022 Virtual.pdf
Google Cloud Platform - Japan
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
NTT DATA Technology & Innovation
Tomorrow's software testing for embedded systems ~明日にでも訪れてしまう組込みシステムのテストの姿~
Tomorrow's software testing for embedded systems ~明日にでも訪れてしまう組込みシステムのテストの姿~
Yasuharu Nishi
【de:code 2020】 GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ
【de:code 2020】 GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ
日本マイクロソフト株式会社
アーキテクトが主導するコンテナ/マイクロサービス/サーバーレスのセキュリティ
アーキテクトが主導するコンテナ/マイクロサービス/サーバーレスのセキュリティ
Eiji Sasahara, Ph.D., MBA 笹原英司
DX 時代の新たなソフトウェア工学に向けて: SWEBOK と SE4BS の挑戦
DX 時代の新たなソフトウェア工学に向けて: SWEBOK と SE4BS の挑戦
Hironori Washizaki
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
Kuniyasu Suzaki
高信頼性を確保するソフトウェア開発手法と実践-組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践-組込み製品の潜在的価値を今以上に高めるために-
Yoshio SAKAI
Azure Digital Twins 最新事例紹介 ( IoTビジネス共創ラボ 第16回勉強会 )
Azure Digital Twins 最新事例紹介 ( IoTビジネス共創ラボ 第16回勉強会 )
Takeshi Fukuhara
Azure Digital Twins最新事例紹介
Azure Digital Twins最新事例紹介
IoTビジネス共創ラボ
レガシー Web からの脱却 ~ 開発者が次に目指すべき Web アプリの姿とは?
レガシー Web からの脱却 ~ 開発者が次に目指すべき Web アプリの姿とは?
Akira Inoue
Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!
Takashi Matsunaga
Spring Bootハンズオン ~Spring Bootで作る マイクロサービスアーキテクチャ! #jjug_ccc #ccc_r53
Spring Bootハンズオン ~Spring Bootで作る マイクロサービスアーキテクチャ! #jjug_ccc #ccc_r53
Toshiaki Maki
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
Mais conteúdo relacionado
Semelhante a ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
Riotaro OKADA
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
Takeshi Fukuhara
IoT開発を支える技術の今とこれから
IoT開発を支える技術の今とこれから
Knowledge & Experience
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
Takeshi Fukuhara
2016-ShowNetステージ-ShowNetを守るセキュリティ
2016-ShowNetステージ-ShowNetを守るセキュリティ
Interop Tokyo ShowNet NOC Team
RISC-Vのセキュリティ技術(TEE, Root of Trust, Remote Attestation)
RISC-Vのセキュリティ技術(TEE, Root of Trust, Remote Attestation)
Kuniyasu Suzaki
ServerlessDays Tokyo 2022 Virtual.pdf
ServerlessDays Tokyo 2022 Virtual.pdf
Google Cloud Platform - Japan
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
NTT DATA Technology & Innovation
Tomorrow's software testing for embedded systems ~明日にでも訪れてしまう組込みシステムのテストの姿~
Tomorrow's software testing for embedded systems ~明日にでも訪れてしまう組込みシステムのテストの姿~
Yasuharu Nishi
【de:code 2020】 GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ
【de:code 2020】 GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ
日本マイクロソフト株式会社
アーキテクトが主導するコンテナ/マイクロサービス/サーバーレスのセキュリティ
アーキテクトが主導するコンテナ/マイクロサービス/サーバーレスのセキュリティ
Eiji Sasahara, Ph.D., MBA 笹原英司
DX 時代の新たなソフトウェア工学に向けて: SWEBOK と SE4BS の挑戦
DX 時代の新たなソフトウェア工学に向けて: SWEBOK と SE4BS の挑戦
Hironori Washizaki
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
Kuniyasu Suzaki
高信頼性を確保するソフトウェア開発手法と実践-組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践-組込み製品の潜在的価値を今以上に高めるために-
Yoshio SAKAI
Azure Digital Twins 最新事例紹介 ( IoTビジネス共創ラボ 第16回勉強会 )
Azure Digital Twins 最新事例紹介 ( IoTビジネス共創ラボ 第16回勉強会 )
Takeshi Fukuhara
Azure Digital Twins最新事例紹介
Azure Digital Twins最新事例紹介
IoTビジネス共創ラボ
レガシー Web からの脱却 ~ 開発者が次に目指すべき Web アプリの姿とは?
レガシー Web からの脱却 ~ 開発者が次に目指すべき Web アプリの姿とは?
Akira Inoue
Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!
Takashi Matsunaga
Spring Bootハンズオン ~Spring Bootで作る マイクロサービスアーキテクチャ! #jjug_ccc #ccc_r53
Spring Bootハンズオン ~Spring Bootで作る マイクロサービスアーキテクチャ! #jjug_ccc #ccc_r53
Toshiaki Maki
Semelhante a ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
(20)
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
IoT開発を支える技術の今とこれから
IoT開発を支える技術の今とこれから
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
2016-ShowNetステージ-ShowNetを守るセキュリティ
2016-ShowNetステージ-ShowNetを守るセキュリティ
RISC-Vのセキュリティ技術(TEE, Root of Trust, Remote Attestation)
RISC-Vのセキュリティ技術(TEE, Root of Trust, Remote Attestation)
ServerlessDays Tokyo 2022 Virtual.pdf
ServerlessDays Tokyo 2022 Virtual.pdf
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
Tomorrow's software testing for embedded systems ~明日にでも訪れてしまう組込みシステムのテストの姿~
Tomorrow's software testing for embedded systems ~明日にでも訪れてしまう組込みシステムのテストの姿~
【de:code 2020】 GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ
【de:code 2020】 GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ
アーキテクトが主導するコンテナ/マイクロサービス/サーバーレスのセキュリティ
アーキテクトが主導するコンテナ/マイクロサービス/サーバーレスのセキュリティ
DX 時代の新たなソフトウェア工学に向けて: SWEBOK と SE4BS の挑戦
DX 時代の新たなソフトウェア工学に向けて: SWEBOK と SE4BS の挑戦
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
高信頼性を確保するソフトウェア開発手法と実践-組込み製品の潜在的価値を今以上に高めるために-
高信頼性を確保するソフトウェア開発手法と実践-組込み製品の潜在的価値を今以上に高めるために-
Azure Digital Twins 最新事例紹介 ( IoTビジネス共創ラボ 第16回勉強会 )
Azure Digital Twins 最新事例紹介 ( IoTビジネス共創ラボ 第16回勉強会 )
Azure Digital Twins最新事例紹介
Azure Digital Twins最新事例紹介
レガシー Web からの脱却 ~ 開発者が次に目指すべき Web アプリの姿とは?
レガシー Web からの脱却 ~ 開発者が次に目指すべき Web アプリの姿とは?
Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!
Spring Bootハンズオン ~Spring Bootで作る マイクロサービスアーキテクチャ! #jjug_ccc #ccc_r53
Spring Bootハンズオン ~Spring Bootで作る マイクロサービスアーキテクチャ! #jjug_ccc #ccc_r53
Mais de FumieNakayama
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介
Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介
FumieNakayama
OpenShiftで実現するプラットフォーム・エンジニアリングにおけるDevSecOpsの価値.pdf
OpenShiftで実現するプラットフォーム・エンジニアリングにおけるDevSecOpsの価値.pdf
FumieNakayama
実例に学ぶ、クラウドネイティブセキュリティの勘所.pdf
実例に学ぶ、クラウドネイティブセキュリティの勘所.pdf
FumieNakayama
クラウドネイティブ最新技術動向.pdf
クラウドネイティブ最新技術動向.pdf
FumieNakayama
NGINX Ingress Controller on RedHat OpenShift.pdf
NGINX Ingress Controller on RedHat OpenShift.pdf
FumieNakayama
NGINX Ingress Controllerで実現するセキュリティ.pdf
NGINX Ingress Controllerで実現するセキュリティ.pdf
FumieNakayama
k8sとOpenShiftの違いとは.pdf
k8sとOpenShiftの違いとは.pdf
FumieNakayama
Mais de FumieNakayama
(9)
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介
Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介
OpenShiftで実現するプラットフォーム・エンジニアリングにおけるDevSecOpsの価値.pdf
OpenShiftで実現するプラットフォーム・エンジニアリングにおけるDevSecOpsの価値.pdf
実例に学ぶ、クラウドネイティブセキュリティの勘所.pdf
実例に学ぶ、クラウドネイティブセキュリティの勘所.pdf
クラウドネイティブ最新技術動向.pdf
クラウドネイティブ最新技術動向.pdf
NGINX Ingress Controller on RedHat OpenShift.pdf
NGINX Ingress Controller on RedHat OpenShift.pdf
NGINX Ingress Controllerで実現するセキュリティ.pdf
NGINX Ingress Controllerで実現するセキュリティ.pdf
k8sとOpenShiftの違いとは.pdf
k8sとOpenShiftの違いとは.pdf
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
1.
ソフトウェアサプライチェーン セキュリティの最新技術動向 渡邊 裕治 ⽇本IBM 東京基礎研究所 2023年2⽉22⽇ コンテナ共創センター勉強会
#22
2.
渡邊 裕治 @yuji.watanabe.jp STSM,
IBM Research Software Supply Chain Security (Risk & Integrity for Ansible/CICD/GitOps) twitter.com/ywatan1 linkedin.com/in/yuji-watanabe-0108322/ github.com/yuji-watanabe-jp ⾃⼰紹介
3.
本⽇の内容 • ソフトウェアサプライチェーンセキュリティ - 課題と技術動向
– • CNCF KubeCon + CloudNativeCon (略称Kubecon)発表参加報告
4.
ソフトウェアサプライチェーン周りのキーワード • SBOM (ソフトウェア部品表) •
ビルド・プロベナンス(来歴) • ビルド・アーティファクト(成果物) • 脆弱性スキャン • VEX = Vulnerability Exploitability eXchange (脆弱性の補助情報、影響や修正の有無等) • SLSA = Supply-chain Levels for Software Artifact (フレームワーク) • Sigstore (署名) • OpenSSF (Linux Foundationのプロジェクト)
5.
Sigstoreプロジェクト オープンソース開発者が署名を 使いやすくする • 様々な開発ツールと統合する • 鍵管理を容易にする(キーレ ス署名) •
OpenID Connectを使って誰の署 名か検証しやすくする
6.
エンドツーエンドのサプライチェーン source build package deliver
maintain use
7.
アプリをクラスターにデプロイする Registry CI Pipeline Git Repo Git
Repo (Source) Manifest Image CD Pipeline Image Application Cluster build & package deploy & maintain アプリをデプロイする際にイメージとマニフェストが⽤いられる
8.
デリバリー時のインテグリティの課題 Registry CI Pipeline Git Repo Git
Repo (Source) Manifest Image CD Pipeline Image Application Cluster build & package deploy & maintain イメージの改ざん YAMLマニフェストの 改ざん デプロイした後の マニフェストの改 ざん
9.
サプライチェーンのインテグリティ保護 Registry CI Pipeline Git Repo Git
Repo (Source) Manifest Image CD Pipeline Image Application Cluster build & package deploy & maintain インテグリティを保護するために・・・
10.
サプライチェーンのインテグリティ保護 Registry CI Pipeline Git Repo Git
Repo (Source) Manifest Image CD Pipeline Image Application Cluster build & package deploy & maintain SIG SIG SIG SIG SIG SIG SIG インテグリティを保護するために・・・ イメージの署名 +YAMLマニフェストの署名
11.
Controller Current State Desired State Kubernetes リソースマニフェスト •
Kubernetesは declarativeな構成管理シ ステム • ユーザは、desired stateをYAMLでGitレ ポなどに定義します。 • Kubernetesのコントローラーはdesired stateになるようにシステム構成を管 理します。
12.
1⾏インストールの危険性 curl -sL https://xxxx/install.sh
| bash kubectl create -f https://xxxxxx/manifests.yaml modify modify
13.
YAMLマニフェスト署名 kubectl sigstore sign
-f test-deployment.yaml -k cosign.key
14.
k8s-manifest-sigstore https://github.com/sigstore/k8s-manifest-sigstore k8s-manifest-sigstore • Kubernetesリソースのマニフェスト署名・検 証のためのCLIとライブラリ • Sigstoreのcosignに基づく (Sigstore
=署名・検証によるソフトウェアの保 護に向けたオープンソースプロジェクト) • YAML署名・検証のロジックを提供 • 署名をアノテーションとして添付
15.
Kyverno • Kubernetesネイティブなポ リシーエンジン • PolicyもReportもKubernetes リソース •
Kubernetesリソースの検 証・変更・⽣成が可能
16.
k8s-manifest-sigstore CLI https://github.com/sigstore/k8s-manifest-sigstore Kyverno Kyverno Policy rules: validate: manifests: K8s resource K8s resource kubectl
sigstore sign -f cm.yml --key cosign.key Signature check K8s-manifest-sigstore マニフェストを保護する • YAMLリソースを Sigstore CLIで署名する • Kyvernoを使ってリソースの署名を検証する (v1.8.0から有効) https://youtu.be/NsuhabTaJTE
17.
マルチクラスター管理のポリシーの インテグリティを保護する ハブ・クラスター Policy Policy Policy sig 管理対象クラスター Policy Policy 署名されたポリ シーのみ有効 Admission Control Policy Admission Control ポリシーが署名なし で変更されたらブ ロック apply apply apply 署名 Policy Policy Policy Kyverno Integrity Shield https://youtu.be/1grSrQ2daxI
18.
処理内容(プロベナ ンス)の記録 Interlace – "trust
but verify" アプローチ Git Repo Source Materials Signer Cluster Admission Control SIG ArgoCD Build Deploy ⽣成されたマ ニフェスト Interlace マニフェストへの署名付与 ソースの 署名検証 Interlaceは、より強固なインテグリティ検証のた めにArgoCDのGitOps同期を機能拡張します。 SIG https://youtu.be/dcCbtYrbjzE
19.
CNCF KubeCon +
CloudNativeCon (略称Kubecon)発表参加報告
20.
CNCF = Cloud
Native Computing Foundation https://landscape.cncf.io
21.
CNCF KubeCon +
CloudNativeCon • CNCFのフラグシップ会議、年2回開催 (ヨーロッパと北⽶) • メイントラックと多数の共催イベントから構成される • 今回@デトロイト: 16986⼈ (7403⼈が現地参加, ⽇本⼈: 合計40名程度) • コロナ前(Kubecon + Cloud Native Con NA 2019): 11981⼈ • 2023年: 4⽉ アムステルダム、11⽉ シカゴ
22.
よく出てくるワード WASM, eBPF, Sigstore,
GitOps, Edge, Supply Chain, Mesh 約⼆週間後にほぼ全部の講演が YouTubeで視聴可能になります。
23.
24.
480社からの1187件の講演申 込の中から148件だけメイン トラックに採録される (採録率12%) このうち13件がIBMの講演 他に13件の共催イベントでの IBM講演 (Ref) https://www.cncf.io/blog/2022/03/09/inside-the-numbers-the-kubecon- cloudnativecon-selection-process-for-europe-2022/
25.
IBMブース
26.
Thank you! Q &
A Resources Interlace - https://github.com/argoproj-labs/argocd-interlace Manifest Signing - https://github.com/sigstore/k8s-manifest-sigstore Integrity Shield - https://github.com/stolostron/integrity-shield Kyverno - https://github.com/kyverno/kyverno Ansible Risk Insight - https://github.com/rurikudo/ansible-risk-insight Yuji Watanabe twitter.com/ywatan1 linkedin.com/in/yuji-watanabe-0108322/ github.com/yuji-watanabe-jp
Baixar agora