2023年12月4日 OpenSSF Day Japanが開催されました。 日本の参加者が半分くらいの、全編英語で行われるセッションで、一日中頭はフル稼働でした。
OpenSSFは「オープンソースエコシステムのセキュリティを確保するための業界を超えたコラボレーション」を実現しようとするものです。業界を超えてというところが重要で、公的機関とも連携していくところに特徴があると思います。
皆さんもSBoM(Software Bill of Materials)ということばを聞いたことがあると思います。 このブログでも何度かSBoM(Software Bill of Materials)やGUACといった関連するツールや仕様について言及してきました。 techblog.ap-com.co.jp techblog.ap-com.co.jp
昨今セキュリティという点では実行環境のセキュリティに加え、SBoMやGUACなどのSoftware Supply Chaiin Securityに注目が集まってます。
今回のOpenSSF Day Japanにおいても、さまざまな技術要素の紹介は当然として、日本の経済産業省やIPAなどの公的機関によるSoftware Supply Chain Securityへの対応なども紹介されました。こうした紹介がOpenSSFの公的機関との連携のよい例ではないかと思います。
ちなみに、経産省の方のセッションでは多くの日本の参加者の方(ほぼ全員に近いといっても過言ではないかもしれません)がスライドの写真を撮っており、参加者の注目の高さがその光景からもうかがうことができました。 経産省で取り組まれているということは日本のソフトウェア業界においても、Software Supply Chain Securty / SBoMへの対応が必須になる日も近いのかなと感じます。
ただ、今日のセッションでも紹介されていましたが、Software Supply Chain Securtyへの取り組みはまだ浸透していない部分も多く、さらに日本においては海外とのギャップがあるそうです。(私も「あ、これしらない」という部分が多々ありました)
これから充実させていく段階ではありますが、OpenSSFがそれを実現してくれそうです。 さらに、OpenSSFでは日本語のコンテンツも順次拡充しているそうです。 www.linuxfoundation.jp
ぜひこういったコンテンツを活用して、よりセキュアな環境・実行環境を整えていきたいですね。
今日紹介されたツール等については別途記事にしていきたいと思います。乞うご期待。
