【CODE BLUE 2024】アラン・フリードマン / Allan Friedman - 講演関連資料 / Presentation resources

2025年2月18日 14:49

●講演概要 / Abstract

[ja] SBOMとセキュリティの透明性 - すべてを統合する方法

[録画講演]
ソフトウェアに何が含まれているのかを知るというアイデアは、急進的な考えから「SBOM（Software Bill of Materials）」という流行語に変わった。しかし、SBOMはどこへ行こうとしているのだろうか。また、セキュリティにおける他の動き、特に政策や規制に関する動きとどのように関わっていくのだろうか。本講演では、SBOMがどこから来て、どのようにして世界的なコミュニティになったのかを振り返り、現在のギャップを明示し、コミュニティがどのようにそれらに対処しようとしているのかを説明する。しかし、もちろんSBOMだけですべての問題が解決するわけではない。SBOMの前に、より多くのCoordinated Vulnerability Disclosure（CVD）が必要である。SBOMが整備された後は、新しいCVE標準を含む質の高い脆弱性データと、より優れたソフトウェア識別子が必要になる。そして、情報過多にならないためには、プロプライエタリ・ソフトウェアとオープン・ソース・ソフトウェアの両方について、VEX（Vulnerability Exploitability eXchange）と機械可読なアドバイザリが必要となる。これらすべてを見渡し、ソフトウェアセキュリティと対応の未来について、より良い計画を立てるための全体図を描こう。

codeblue.jp

[en] SBOM and Security Transparency - How it all fits together

[Recorded Session]
The idea of knowing what is in our software went from a radical idea to the popular buzzword of “SBOM”. But where is Software Bill of Materials going, and how will it interact with other movements in security, particularly around government policy and regulation? This talk will review where SBOM came from, and how it became a global community, then explicitly aggressive current gaps, and how the community is working to address them. But SBOM alone will, of course, not solve all our problems. Before SBOM, we need more Coordinated Vulnerability Disclosure (CVD). Once we have SBOM, we need good quality vulnerability data, including the new CVE standards, and better software identifiers. And to prevent being overwhelmed, we need the Vulnerability Exploitability eXchange (VEX) and machine readable advisories, for both proprietary and open source software. See the whole map for better planning around the future of software security and response.

codeblue.jp

●略歴 / Bio

[ja] アラン・フリードマン

アラン・フリードマン博士は、米国政府のサイバーセキュリティ・インフラストラクチャー安全保障庁（CISA）のシニアテクニカルアドバイザー兼ストラテジストを務めている。ソフトウェア部品表（SBOM）に関するグローバルかつ業界横断的なコミュニティの取り組みを調整し、日本政府を含む世界中の専門家と緊密に連携している。以前は、NTIA（米国商務省電気通信情報局）にてサイバーセキュリティ・イニシアチブ・ディレクターを務め、脆弱性開示、SBOM、その他のセキュリティ関連の先駆的な業務を主導していた。連邦政府に加わる前は、ハーバード大学のコンピュータサイエンス学科、ブルッキングス研究所、ジョージ・ワシントン大学工学部で、情報セキュリティおよび技術政策の著名な学者として10年以上活動していた。また、人気のある著書『Cybersecurity and Cyberwar:What Everyone Needs to Know』の共著者でもあり、スワースモア大学でコンピュータサイエンスの学位を、ハーバード大学で公共政策の博士号を取得。落ちこぼれの教授からテクノクラートに転身したにしては、非常にフレンドリーである。
フリードマン博士は、2019年および2022年にCODE BLUEで講演する栄誉にあずかっている。

codeblue.jp

[en] Allan Friedman

Dr. Allan Friedman is a Senior Technical Advisor and Strategist at the Cybersecurity and Infrastructure Security Agency (CISA) in the US Government. He coordinates the global cross-sector community efforts around software bill of materials (SBOM), and closely with experts around the world, including the Japanese governmen. He was previously the Director of Cybersecurity Initiatives at NTIA, leading pioneering work on vulnerability disclosure, SBOM, and other security topics. Prior to joining the Federal government, Friedman spent over a decade as a noted information security and technology policy scholar at Harvard’s Computer Science department, the Brookings Institution, and George Washington University’s Engineering School. He is the co-author of the popular text “Cybersecurity and Cyberwar:What Everyone Needs to Know,” has a degree in computer science from Swarthmore College and a PhD in public policy from Harvard University. He is quite friendly for a failed-professor-turned-technocrat
Friedman has had the honor of speaking at Code Blue in 2019 and 2022.

codeblue.jp