Open Source Summit NA 2022の2日目のキーノートからSBOMの事例などを解説

連載 [第2回] :

OSSummit North America 2022レポート

2022年9月28日(水)

2022年6月にオースチンで開かれたOSSummit NA 2022の2日目のキーノートを紹介。

2022年6月22日に行われたOpen Source Summit North America 2022、2日目のキーノートセッションを総括して紹介したい。MCとして登壇したのはThe Linux FoundationのSVPでGM of ProjectsであるMike Dolan氏だ。

MC役のMike Dolan氏

この日のキーノートでは、初日に続いてジェンダーの平等に関するプロジェクトなどに簡単に触れた後、The Linux Foundation（LF）のCTOで2022年5月に亡くなったShubhra Kar氏について語られ、Kar氏の名前を冠したスカラーシッププログラムが開始されたことが最初に紹介された。CNCFにおいても近年亡くなったエグゼクティブディレクターのDan Korn氏の名前を付けたスカラーシッププログラムが実施されており、単なるユーザーグループでもベンダー主導のパートナーグループでもない動かせる予算と人的資源を持った非営利団体としての形が整ってきたことを感じるトピックとなった。

Shubhra Kar氏の名前を付けたスカラーシッププログラム

そしてLFが開発した新しいトレーニングプログラム3つを紹介。ここではOpenSSFのプレミアムメンバーであれば、自社の教育プログラムの中にこのオンライントレーニングプログラムを組み込めることを説明した。

新しいトレーニングプログラムを紹介

そしてソフトウェアのBOM（Bill of Materials）、つまりソフトウェアの中身が何で構成されているのかを明らかにするための仕組みであるSBOMの実装であるSPDXについて、すでに10年という歴史を持っていることなどを説明した。

SBOMの実装であるSPDXについて説明

Dolan氏はこの後、Googleが開発をリードする新しいネットワークスタックであるNephioと、IntelとNVIDIAがソフトウェアを提供して始まったOPI Project（Open Programmable Infrastructure）について簡単に紹介した。

Nephio：Nephio: Cloud Native Network Automation

キャリアレベルのネットワークをKubernetesで実装するNephio

OPI Project：https://github.com/opiproject

OPI Projectの紹介

それぞれのプロジェクトについては以下のGoogleやLFのブログ記事を参照されたい。どちらもインパクトのある内容となっている。特にOPIについてはこのキーノートが行われた6月22日に発表されたものであり、キーノートでより詳細な説明があってもおかしくない内容だが、今回は簡単に触れるだけだった。プレゼンテーションを行う適役が会場にはいなかったのかもしれない。

Googleのブログ：Nephio でグローバル規模のクラウドネイティブネットワークの自動化を実現

Linux Foundationからのプレスリリース：新プロジェクトOpen Programmable Infrastructureを発表新しいクラウドネイティブインフラストラクチャーのオープンスタンダードを推進

OPIではDPU（Data Processing Unit）とIPU（Infrastructure Processing Unit）という新しい概念が導入されているが、それぞれIntelとNVIDIAのソフトウェアがベースとなっているというのがポイントだろう。

またNephioについても、テレコム事業者がこれまでOpenStackや仮想マシンベースで作り上げてきたネットワークを、GoogleがGCPで使ってきたKubernetesベースで実装する試みと捉えると、インパクトは非常に大きいように思える。

Intel、NVIDIA、F5、DELL、Red Hatなどが参加するOPI Project

Dolan氏が次に紹介したのは、LFのVP of ResearchであるHilary Carter氏だ。Carter氏はLFが実施したリサーチの内容を紹介するプレゼンテーションを行った。

LFが実施したリサーチを紹介するCarter氏

Carter氏は企業が多くのオープンソースソフトウェアに熟知したエンジニアを採用したいと思っていること、多くのエンジニアがトレーニングの必要性を感じていること、そして少数のコントリビューターによって多くのオープンソースソフトウェアが開発されていることなどを説明し、企業に所属するソフトウェアエンジニアがその雇用主によってオープンソースソフトウェアへの貢献を制限されていることなどを説明した。

企業のポリシーでOSSにコードを提供できないエンジニアが45％を占めるという調査結果

オープンソースソフトウェアへの貢献について、企業に所属するエンジニアの半数近くがポリシーによって阻害されているというのは、日本では理解しやすいがこれが全世界的な実態だとすれば、驚くべき結果なのかもしれない。

その後はパテントトロールに対する対策を提供するベンチャーのUnified Patentsの創業者でCEOのKevin Jakel氏が登壇し、企業の特許侵害を梃子に金銭を奪い取ろうとするパテントトロールについての説明が行われた。

年々、特許関連の事件が増えていることを紹介

すでにオープンソースソフトウェアを使うことが当たり前になっている企業にとって、パテントトロールは言わば当たり屋的な存在だが、訴訟で問題を解決するのが常識のアメリカでは予期すべきリスクだろう。

ここでアジェンダには表記されていないが、オープンソースソフトウェアの検証（Audit）を行う非営利団体、Open Source Technology Improvement Fund（OSTIF）の創業者でディレクターのAmir Montazery氏が登壇し、オープンソースの脆弱性やコードの健全性を検証するプロジェクトについて説明した。

OSTIFの検証について説明するAmir Montazery氏

そしてSBOMの事例として登壇したのが、ニューヨーク州に数多くの病院を展開するNewYork-Presbyterian Hospitalのチーフインフォメーションセキュリティオフィサー（CISO）であるJennings Aske氏だ。Aske氏は総合病院におけるSBOM導入のPoCについて解説を行った。

プレゼンテーションを行ったAske氏

Aske氏は「どうして医療機関がSBOMを？」という疑問について、2018年から医療機関におけるSBOMの検証テストが始まっていたことを紹介。特にエネルギー関連企業や自動車製造業などとも連携して、検証が行われていたこと、その後にバイデン大統領による大統領令が発令されたことなどを紹介した。

SBOMの過去の経緯を簡単に紹介

オープンソースで実装されている多種多様な医療機器に対するリスクを軽減するために、メーカーと連携してSBOMの実装を検証しているとして、医療機関においてもコンピュータが必須のものであり、オープンソースが重要な役割を果たしていることを実感させる内容となった。

機器メーカーと連携したSBOM検証の概要

またSBOMの内容を確認するためのスキャンツールであるDaggerboradもGitHubに公開されている。これはnyph-infosecというリポジトリに存在することからもわかるように、New York-Presbyterian Hospitalが主体となって開発されているものである。

参考：https://github.com/nyph-infosec/daggerboard

この後は、スポンサーセッションとしてIntelのArun Gupta氏、GitLabのMelissa Smolensky氏が登壇した。Intelはオープンソースへの投資の紹介と人材募集のお知らせ、GitLabはオープンソースソフトウェアはコードが重要とは言え、活動を動かしているのはエンジニアを含めて多くの人間たちであるとして、ラブレターの形式でOpenStack、Kubernetesなどへの貢献を呼びかける内容となった。