OpenSSF Day Japan / Open Source Summit Japan 2023 が開催されました！

はじめに

2023 年 12 月 5 日と 6 日の二日間にわたり、The Linux Foundation ^※1（以下「LF」と略）主催の Open Source Summit Japan 2023 ^※2（以下「OSSJ」と略）が有明セントラルタワーホール＆カンファレンスで開催されました。コロケーションイベントとして、前日の 12 月 4 日には日本で二回目の開催となる OpenSSF Day Japan ^※3 も開催されました。OpenSSF Day は、 LF 傘下のプロジェクトである Open Source Security Foundation ^※4（以下「OpenSSF」と略） 主催のもと OSS のセキュリティ強化・向上に話題を特化して行われるイベントです。

弊社サイバートラストは LF および OpenSSF メンバーとして、OpenSSF Day Japan と OSSJ 双方に対して積極的な支援・参加を行いました。OSSJ にはゴールドスポンサーとしての支援をさせて頂いたことを始め、OpenSSF Day Japan、OSSJ の双方でセッションを持つことができました。
OpenSSF Day Japan、OSSJ ともに、OSS 全般にわたり非常に広範なテーマのセッションが行われました。その全てを紹介するにはあまりにも紙幅が足りないため、筆者が特に印象に残ったキーノートおよびセッションをいくつか、ここではご紹介したいと思います。

※1

The Linux Foundation

※2

Open Source Summit Japan 2023

※3

OpenSSF Day Japan

※4

OpenSSF

OpenSSF Day から： より強固なサイバーセキュリティのための OSS, オープンな標準、法規・規制への指針

まず一つ目は、OpenSSF Day Japan にて
Navigating Open Source, Open Standards, & Government Directives for Better Cybersecurity（より強固なサイバーセキュリティのための OSS、オープンな標準、法規・規制への指針）
と題して行われたパネルディスカッションを紹介したいと思います。内容は OSS セキュリティ関連の、特に公共分野や重要インフラに関する動向を共有するものです。IBM の Aya さんがモデレータを勤め、同じく IBM の Kentarou さん、Jeff さん、それと JPMorgan Chase の Rao さんがパネラーを勤める形で行われました。（以下敬称略）

(Aya) EU の CRA ^※5 についてどう考えるか。またその影響は。

• (Rao) 政府が OSS のセキュリティについて関心と懸念を持っていることは良い動きだと思う。複数の業界にまたがってこれに対応していくことが重要なのではないか。

(Aya) OSS セキュリティに関連した日本の動き、特に政府関連の動きを紹介してほしい。

• (Kentarou) 経産省から SBOM 導入の手引きが発行されたことをはじめ、標準化の動きがある。今後もアップデートが必要。
  サプライチェーンセキュリティには２つの重要な観点があると考えている。
  
  • 政府にサプライチェーンセキュリティを統合して扱う部署が必要。現状は存在しない。
  • SBOM は間違いなく重要な要素。

(Aya) ソフトウェアサプライヤはどう SBOM を全体像にはめ込んでいくべきか。

• (Jeff) OSS が発展していくためには、大きなユーザーベースが必要。あるソフトウェア製品に含まれる OSS の数は、以前は 50 だったかもしれないが今や 500 ということも珍しくなく、まさに OSS は「公共財」となっている。公共財は「我々が」良くしていくものであって、「他の誰かが」良くするものではない。

(Aya) 金融業界における OSS の位置づけとは。

• (Rao) 金融業界でも数多くの OSS が利用されているが、そのうち 85% は十分にメンテナンスされていないという調査もあり危惧している。

(Aya) 2024 年に向けての展望を伺いたい。

• (Kentarou) 量子コンピュータ技術の発展はリスクでもある。そこでも透明性、公平性、堅牢性、プライバシーは大切だと考えている。
• (Jeff) 現状、10 の SBOM 生成ツールは 10 種類の異なる SBOM を出力する。それにひるまず、どんどんツールを使い標準化を進めていくことで状況を改善することができる。今はとにかく使ってみる、やってみることが大事なので、皆さんも協力してほしい。

OSS および OSS のサプライチェーンに関するセキュリティは、今回も OSSJ の主要なテーマでした。OSS は金融や政府といったクリティカルな分野にも浸透しており、これらのテーマは向こう数年、重要なテーマであり続けると予想されます。
議論の中で、IBM の Jeff さんから２つの興味深いメッセージがあったと感じます。
「OSS は公共財である」
OSS 界の住民には言わずもがなですが、ただ使うだけでは OSS などの「公共財」はいつか枯れ果ててしまいます。利用し、フィードバックにより貢献することで、OSS はエコシステムとしてより発展することができます。
「SBOM ツールは使ってみることが大事」
さきほどのメッセージは使うだけではダメというお話でしたが、こちらは「まず使おう」というメッセージです。一見矛盾していますが、使わないことにはフィードバックもできません。SBOM はまだまだ未成熟な分野であり、使いづらいところを見つけて共有していくことがいまの段階では必要です。Jeff さんは、貢献が OSS の重要な要素であるというメッセージをここにも込めてお話されていたのだと理解しています。

※5

CRA : EU Cyber Resilience Act（欧州サイバーレジリエンス法案）
EU で議論が進んでいる、デジタル製品にセキュリティ対策を義務付ける法案。ほぼ全てのデジタル製品を対象に、EU で販売する製品の脆弱性対応を義務付けている。脆弱性・インシデントに対する 24 時間以内の報告義務や SBOM を導入した脆弱性管理の義務化など、これまでにない踏み込んだ対応を機器メーカーに求める内容となっている。

Linus Torvalds さんからのキーノート

二つ目は、OSSJ 初日のキーノートを一つ紹介します。キーノートと銘打ってはいますが Linux の生みの親である Linus Torvalds さんの考えを聞く対談コーナーです。Linus さん曰く、この形式はスピーチしなくてよいので楽とのことでした。お相手はいつものように Verizon OSPO リーダーの Dirk さんが努めます。以下、Dirk さんの問いに対する Linus さんの答えという形式で記します。

Linux Kernel 6.7 RC4 が先日出た。注目点は。

• クリスマス前にリリースできそうで良かった。
• このリリースは「退屈」。しかし退屈なのは安定しているということで、良いことだと思っている。
• これまでで最も多くのコミットを含んだリリースになる。
• 変化を恐れず、開発を進めていきたい。

Linux Kernel に Rust が導入されてからしばらく経ったが、どういった状況か。

• 我々は停滞を望んでいない。常に新しい、従来と違ったやりかたを探すべき。Rust はその一つ。
• Rust で置き換えられたサブシステムはまだないが、来年にはドライバー層や主なサブシステムとの統合がより進むだろう。

カーネル開発で最も煩わしいことはなにか。

• ハードウェアのドキュメントを探すのが最も煩わしいことだったが、最近は良くなってきている。

メンテナが高年齢化している。後継者をどう育てていくべきか。

• まず第一に、みなはメンテナをスーパープログラマーと考えているかもしれないが全員がそうではないし、それが最も重要な資質というわけでもない。
• メンテナの仕事は他人の書いたコードが正しいかどうか判断すること。
• メンテナは、コミュニケーションが苦手な凄腕のプログラマーがいた場合に、彼のための翻訳者になることが求められる。
• コードを読むのは簡単だが、人との関わりの方がよっぽど難しい。
• 確かに、メンテナサミット参加者の 2/3 は 20 年以上その役割を続けているが、一方で Rust のメンテナは若い。Rust のように新しいテクノロジを導入することはメンテナの若返りにも一役買っている。
• ファイルシステムのように高度の信頼性が求められる部分では経験が求められるが、ドライバは比較的そうではないので若い人にもとっつきやすいのではないか。あと GPU とか。

最近ではよく LLM ^※6 が話題になる。LLM の書いたコードがマージされる時代は来るだろうか。

• 自動化はいつも人間を助けてくれる。コードレビューなどでは LLM が助けになるのではないか。
• 人間もバグを作りこむし、LLM だからどうということはないのではないか。そもそもいまでもコードは機械語ではなく C や C++ で書いているわけで、そういう意味では LLM がコードを書くのと大した違いはないように思える。

OSS はコードが世の中を変えることを証明した。今後はオープンデータが同じ役割を果たすのだろうか。

• OSS が発展したのはコードがオープンで共有できることが理由。データに関しても、共有するためにはオープンデータが必要であり今後の主流になっていくのでは。
• 私が企業に属さずここ（LF）にいるのも、オープンにしたい、オープンな方が良いと考えていることがその理由。
• ビジネスは長期的計画を立てたがるが、長期の計画がいつも正しいとは限らない。世界を変えるのは一歩一歩の積み重ね。

来年の OSS Japan はどこで開催すべきか。沖縄？

• 東京でもいいけど、沖縄もいいね。

いつもながらに朴訥と語る Linus さんですが、その視線は常に未来を見据えています。また、オープンであることこそが OSS、ひいてはソフトウェア技術全般の発展に必要だ、と考えていることがよく分かりました。Linus さんの来日は数年ぶりだと思うのですが、ぜひ頻繁にお話を伺いたいものです。
沖縄は良いアイディアだと思うのですが、東京拠点の筆者からすると行きにくい ... 来年も弊社は積極的に参加しますよね。ね、社長！？（夏の北海道とかもいいなあ）

※6

LLM : Large Language Models
大規模言語モデル。ディープラーニング技術の一つで、大量のテキストデータで学習した大量のパラメータを大量の演算パワーで処理することにより、自然言語による文書の生成を可能にする。2023 年現在では、OpenAI の ChatGPT、Google の Gemini、Meta の Llama2 などが有名。

Greg K-H さんのキーノート「Linux カーネルセキュリティの謎解き」

三つめに紹介したいのは、Linux Kernel の巨人（論物両面）である Greg Kroah-Hartman さんからのキーノートセッション「Linux Kernel Security Demystified（Linux カーネルセキュリティの謎解き）」です。Greg さんが Kernel Security Team のポリシーとアップデートの重要性を訴えます。以下 Greg さんスピーチの要約です。

今この話をする背景の一つは、EU CRA などの法規・規制がセキュリティ対策・対応を求め始めていることがある。ただしハードウェア起因の問題は頭の痛い問題なので、まずはソフトウェアについて述べたい。
カーネルセキュリティチームは 2005 年に security-list ML ができて始まった。どんな企業にも与せず、トリアージレポート、修正、アップストリームへのマージを行っている。
修正から 7 日以上エンバーゴ（情報非開示制約）にすることはない。修正リリースを特にアナウンスすることはしない。これはセキュリティ修正です、と宣言することもない。なぜならあらゆるバグはセキュリティ問題になり得るので、セキュリティ修正だとしても他との区別はないからである。これを称して Linus はかつて、「バグはバグ」と言った。
Linux Kernel のセキュリティポリシーは、できる限り早くバグを直し、できる限り早くリリースすること。ユースケースは人によって違うし誰がどの部分を使っているかは分からない。セキュリティチームがこれを知る必要もないと考えており、ユースケースによって優先度をつけることはない。
セキュリティチームは NDA を結ばない。なぜなら全ての情報は公開されるべきだからである。
というわけで、最も安全なカーネルとは最新の stable / LTS カーネルである。それ以外は安全ではないと考え、常に最新版へアップデートすること。

OSSJ に先立ち 9 月に開催された Open Source Summit EU にて、Linux LTS Kernel のメンテナンス期間が 6 年から 2 年に短縮されるというニュースが飛び込んで来ました。LTS Kernel のメンテナを長年勤める Greg さんはこの状況に鑑み、長期サポートを求める声が大きい日本に直接考え方を伝えるべく足を運んだものと思われます。Greg さんのスピーチは、長期メンテナンスを求める方々にとって必ずしも心地よいものではなかったと思います。しかしここでも大切なのは、OSS に対する貢献ではないかと筆者は考えます。必要であれば貢献して、メンテナと OSS そのものを支えていくこと。これが日本の OSS ユーザーに求められていることなのではないでしょうか。弊社サイバートラストも LTS カーネルユーザーの一人として、CIP ^※7 への参画やコミュニティへのフィードバックを通じてカーネルの長期サポートに微力を捧げています。

長期のカーネルメンテナンスについては、Greg さんとともに LTS Kernel のメンテナを努める Sasha Levin さんから「Challenges Around Long-Term Kernel Maintenance」と題した セッションもありました。こちらはより直接的に長期メンテナンスの困難さが語られていたので、興味のある方はそちらもチェックすべきと思います。

※7

CIP : Civil Infrastructure Platform
産業グレードの組込み機器に向けて、持続可能な OSS 基盤を実現するための OSS プロジェクト。

終わりに

毎年 12 月に開催される OSSJ は、今年も盛況のうちに幕を閉じました。会場を見渡すと、初めての開催だった昨年はやや会場が寂しかった OpenSSF Day Japan も今年は 100 人前後の参加があり、OSSJ の会場には 600～700 人程度の参加がありました。LF Japan Operation VP の福安さんによると、CFP に対してこれまでで最多となる 450 件の応募があったとのこと。セッション数は目算で 80 コマほどあったので、約 6 倍の競争率だったことになります。その中で弊社サイバートラストは OpenSSF Day Japan と OSSJ 合わせて 8 件のセッションを持つことができました。この数は弊社としてもこれまでで最多です。
全体を見渡すと、セキュリティは引き続き OSS の大きな課題であり続けていることが分かります。向こう数年間はこの状況が続くと思われ、セキュリティと OSS を DNA とする弊社サイバートラストにとってはまさに貢献のしがいがある状況と考えています。こういったイベントの支援、参加はもちろん、開発や議論への参画も引き続き積極的に行うことで OSS の発展に貢献していきます。

すべてのヒト・モノ・コトに信頼を。
弊社サイバートラストのスローガンには、皆様とともに OSS の「信頼」も含まれています。