CNCFが主催するテクニカルカンファレンス、KubeCon+CloudNativeCon North America 2025の初日のキーノートの後半を紹介する。前半がクラウドネイティブとAIに関するテクニカルな内容だったのに対して、本記事で紹介する後半はセキュリティに特化したCNCFとしての施策を解説する内容となった。
●動画:Keynote: Welcome + Opening Remarks
ここで登壇したのはオープンソースソフトウェアのセキュリティ審査を行うOpen Source Technology Improvement Fund(OSTIF)のManaging DirectorであるAmir Montazery氏だ。
Montazery氏はCNCFのプロジェクトに対するセキュリティ審査を継続して行っていることを説明。
すでに審査を受けたプロジェクトを紹介。KubernetesやLinkerd、Backstageなどが挙げられている
審査の結果、これまでに40以上の脆弱性を修正したことを示し、この審査が実施的にプロジェクトに良い影響を与えていることなどを紹介した。その中にはクレデンシャルがソースファイルにハードコードされていた脆弱性が発見されたことなどを挙げて、デベロッパーの注意を喚起した。
2024年、2025年に行った審査の結果を紹介
そしてプロジェクトに対するセキュリティ審査の結果、参加したプロジェクトのすべてが「この審査を受けるべきである」と推奨していることなどをサマリーとして紹介した。このプレゼンテーションはKubernetesのSIG-Security-Auditとして活動しているチームの経過報告という形式になったが、増え続けるプロジェクトに対するCNCFからの支援のひとつということだろう。プロジェクトに参加するコントリビュータの意識を高めるためのメッセージと言える。
そしてChris Aniszczyk氏が再度登壇して、別のCNCFプロジェクトに対するサービスとしてAntithesisがetcdに対して行ったテストの概要を紹介した。
Antithesisがetcdに対して行った堅牢性を検証するテストサービスを紹介
これについては、2025年9月にCNCFからプレスリリースが出ているのでそちらも参照して欲しい。
●参考:Autonomous testing of etcd’s robustness
Antithesisのテストの内容を紹介
これは開発を継続することが使命のコントリビュータにとって、ソフトウェアの堅牢性を実際にユーザーが使う場合と同様の環境を作ってテストすることが現実的に難しいという状況を打破するために、テストベンダーであるAntithesisを招いて行った事例の紹介である。具体的にはCNCFのプロジェクトであるetcdに対して、フォルトインジェクションなどのカオスエンジニアリング的なアプローチでテストを実施したという内容だ。Antithesisは仮想マシンの中にソフトウェアが実行される環境を構築してテストを行うことで、再現性とリアルタイムでのデバッグを可能にするという。Antithesisの概要については以下の公式サイトを参照して欲しい。
このプレゼンテーションはAntihesisの創業者兼CEOのWill Wilson氏と、GoogleのエンジニアでetcdのTech LeadのMarek Siarkowicz氏の2名によって行われた。
登壇しているetcdのTech Lead、Siarkowicz氏のコメントを紹介
このコメントではクラウドネイティブなシステムにおける本番環境でのバグの発見が難しいことを述べて、再現性の高いAntithesisのテストが有効であることを紹介している。
AntithesisはCNCFのパートナーとなり、プロジェクトにテストを無償で提供
プロジェクトのセキュリティ審査に加えてAntithesisのテストをCNCFのIncubation及びGraduationプロジェクトに対して無償で提供するというのは、プロジェクトの安全性を第三者によって検証し、持続的に安全なソフトウェアを開発して欲しいと願うCNCFの意志の表れだろう。
単にカンファレンスを開いてプレゼンテーションさせるだけでは、プロジェクトの持続とエンタープライズユーザーからの信頼を得られないことに対してのCNCFの施策という意味では地味ではあるが、大きな意味を持った内容となった。
2024年のKubeCon North Americaでは、初日のキーノートでパテントトロールがオープンソースプロジェクトを標的として攻撃を仕掛けてくることをCNCFコミュニティの全員に告知したのと同じ発想で、プロジェクトが持続するための施策を解説したことになる。2024年と大きく異なるのは、このトピックがAIの次の話題として語られていたことだろう。それぐらいにAIがCNCFに与えた衝撃は大きかったと思われるし、CNCFプロジェクトを守るセキュリティ審査とAntithesisの耐久性テストを無償で提供することの重要性が、生成AIの爆発的な進化にやや負けていたことを示唆していると思われる。2024年のキーノートについては以下の記事を参照して欲しい。
●参考:KubeCon North America 2024、初日のキーノートでパテントトロール対策を解説。その意図を探る
最後にもう一度、Jonathan Bryce氏とChris Aniszczyk氏が登壇して、2026年、2027年のKubeConの日程と場所についてアナウンスをしてキーノートを終了した。
2026年のKubeConの予定。日本は7月29日、30日に横浜で開催
The OpenInfra FoundationがThe Linux Foundationの配下になったことで予想されていたことではあるが、2026年のOpenInfra SummitとKubeCon+CloudNativeConは合体して中国の上海で開催されることも発表された。この方式が上手く行くのか、テスト的に上海で検証したいという発想があるのかもしれないが、メディアの観点では合体させて開催されるのはありがたいことだ。またインフラストラクチャー系のエンジニアにとっても、その上位のレイヤーであるKubernetesのコミュニティでどんな議論がされているのかを理解するきっかけとなりうる。そのような理由から、インフラストラクチャーとクラウドネイティブのオープンソースに関するカンファレンスが同時に開催されるのは歓迎したい。
2027年はニューオーリンズとバルセロナで開催
2027年については北米がニューオーリンズ、ヨーロッパがバルセロナであることが発表された。すでにオープンソース関連のカンファレンスとしては世界最大規模に成長したるKubeConではあるが、お祭り騒ぎよりもプロジェクトが健全に運営され、ユーザーに信頼されることを目指していることが見て取れた。そしてそのためにパートナーシップを拡大し、地味な施策を着実に形にしていくことを語った初日のキーノート後半であった。
バックナンバー
この記事の筆者
筆者の人気記事
SASEのCato Networks、CEOによるセミナーとインタビューを紹介
2020年4月16日 6:00
Rustのエコシステムの拡がりを感じるデスクトップアプリのためのツールキットTauriを紹介
2022年12月16日 6:00
Zabbix式オープンソースの秘密に迫る
2025年1月31日 6:00
WebAssemblyとRustが作るサーバーレスの未来
2020年4月21日 6:00
エンタープライズLinuxを目指すSUSE、Red Hatとの違いを強調
2015年2月3日 19:00
RustとWASMで開発されKubernetesで実装されたデータストリームシステムFluvioを紹介
2022年12月23日 6:00
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
