Yuki Yamazaki https://speakerdeck.com/kamiazya 2024-05-23 11:07:12 -0400 Secure Library Development: Practical OSS Security with OpenSSF <strong>Note</strong>: If you want to access the links in the slides, please use the <a href="https://docs.google.com/presentation/d/e/2PACX-1vQAUNsc26XXbmIr2UaR3GtMd-iNADtJebK-FBgyqiNHVZ-1yQBxFuGOLKQohYejXjzm8C-DByC6ecmp/pub?start=false&loop=false"> Google Slides version </a> . <strong>Overview</strong> Modern IT systems heavily depend on OSS, and library development is no exception. While OSS offers benefits such as cost reduction and rapid development, vulnerabilities can have wide-reaching impacts. Particularly in library development, the security measures of dependent OSS are crucial as they affect many applications. Security measures in OSS projects are also a vital indicator of the project's health. Based on the security improvements implemented in my OSS library (ts-graphviz), I will introduce several initiatives promoted by the Open Source Security Foundation (OpenSSF). <strong>Remarks</strong> These slides were used in the LT at the <a href="https://nextbeat.connpass.com/event/312789/">"Nextbeat Tech Bar: First Discussion on Library Development"</a> held on May 24, 2024. The original presentation was conducted in Japanese, and these slides have been translated into English. <strong>Note</strong>: If you want to access the links in the slides, please use the <a href="https://docs.google.com/presentation/d/e/2PACX-1vQAUNsc26XXbmIr2UaR3GtMd-iNADtJebK-FBgyqiNHVZ-1yQBxFuGOLKQohYejXjzm8C-DByC6ecmp/pub?start=false&loop=false"> Google Slides version </a> . <strong>Overview</strong> Modern IT systems heavily depend on OSS, and library development is no exception. While OSS offers benefits such as cost reduction and rapid development, vulnerabilities can have wide-reaching impacts. Particularly in library development, the security measures of dependent OSS are crucial as they affect many applications. Security measures in OSS projects are also a vital indicator of the project's health. Based on the security improvements implemented in my OSS library (ts-graphviz), I will introduce several initiatives promoted by the Open Source Security Foundation (OpenSSF). <strong>Remarks</strong> These slides were used in the LT at the <a href="https://nextbeat.connpass.com/event/312789/">"Nextbeat Tech Bar: First Discussion on Library Development"</a> held on May 24, 2024. The original presentation was conducted in Japanese, and these slides have been translated into English. Sat, 25 May 2024 00:00:00 -0400 https://speakerdeck.com/kamiazya/secure-library-development-practical-oss-security-with-openssf https://speakerdeck.com/kamiazya/secure-library-development-practical-oss-security-with-openssf セキュアなライブラリ開発〜 OpenSSFで始めるOSSセキュリティの実践と活用〜 ※ <strong>スライド内のリンクにアクセスしたい方は<a href="https://docs.google.com/presentation/d/e/2PACX-1vQKliPNP2Yiqq88xVnTsf944YtWhZY2DvSExc790pYmpthSR30SSxVpp06MMPmD6Ea1TqUfd44tflMI/pub?start=false&loop=false&delayms=3000">Google スライド版</a> をご利用ください。</strong> <strong>概要</strong> 現代社会のITシステムはOSSに広く依存しており、ライブラリ開発も例外ではありません。 OSSを活用することでコスト削減や迅速な開発といったメリットを享受できますが、一方で脆弱性の影響は広範囲に及びます。 特にライブラリ開発は多くのアプリケーションに影響を与えるため、依存するOSSのセキュリティ対策が重要です。 また、OSSプロジェクトのセキュリティ対策は、そのプロジェクトの健全性を示す重要な要素でもあります。 私の作成しているOSSライブラリ( <a href="https://github.com/ts-graphviz/ts-graphviz">ts-graphviz</a> )で行ったセキュリティ向上の取り組みをもとに、 <a href="https://openssf.org/">Open Source Security Foundation(OpenSSF)</a> が推進するセキュリティ向上の取り組みをいくつかご紹介します。 <strong>備考</strong> 2024年5月24日に実施した「<a href="https://nextbeat.connpass.com/event/312789/">Nextbeat Tech Bar:第一回ライブラリ開発について考える会</a>」 のLTで使用されたスライドです。 発表で使用したスピーカーノートは<a href="https://zenn.dev/kamiazya/articles/secure-library-development-oss-security-openssf">こちら</a>からアクセスできます。 ※ <strong>スライド内のリンクにアクセスしたい方は<a href="https://docs.google.com/presentation/d/e/2PACX-1vQKliPNP2Yiqq88xVnTsf944YtWhZY2DvSExc790pYmpthSR30SSxVpp06MMPmD6Ea1TqUfd44tflMI/pub?start=false&loop=false&delayms=3000">Google スライド版</a> をご利用ください。</strong> <strong>概要</strong> 現代社会のITシステムはOSSに広く依存しており、ライブラリ開発も例外ではありません。 OSSを活用することでコスト削減や迅速な開発といったメリットを享受できますが、一方で脆弱性の影響は広範囲に及びます。 特にライブラリ開発は多くのアプリケーションに影響を与えるため、依存するOSSのセキュリティ対策が重要です。 また、OSSプロジェクトのセキュリティ対策は、そのプロジェクトの健全性を示す重要な要素でもあります。 私の作成しているOSSライブラリ( <a href="https://github.com/ts-graphviz/ts-graphviz">ts-graphviz</a> )で行ったセキュリティ向上の取り組みをもとに、 <a href="https://openssf.org/">Open Source Security Foundation(OpenSSF)</a> が推進するセキュリティ向上の取り組みをいくつかご紹介します。 <strong>備考</strong> 2024年5月24日に実施した「<a href="https://nextbeat.connpass.com/event/312789/">Nextbeat Tech Bar:第一回ライブラリ開発について考える会</a>」 のLTで使用されたスライドです。 発表で使用したスピーカーノートは<a href="https://zenn.dev/kamiazya/articles/secure-library-development-oss-security-openssf">こちら</a>からアクセスできます。 Fri, 24 May 2024 00:00:00 -0400 https://speakerdeck.com/kamiazya/sekiyuanaraiburarikai-fa-openssfdeshi-meruosssekiyuriteinoshi-jian-tohuo-yong https://speakerdeck.com/kamiazya/sekiyuanaraiburarikai-fa-openssfdeshi-meruosssekiyuriteinoshi-jian-tohuo-yong