🚿

ID: 自律システム・プロバイダ認可のプロファイル

2024/08/04に公開

Security

RFC

bgp

tech

要旨

本文書は、リソース公開鍵基盤(RPKI)で使用する自律システム・プロバイダ認可(ASPA)オブジェクトのための暗号メッセージ構文(CMS)で保護されたコンテンツ・タイプを定義する。ASPAはデジタル署名されたオブジェクトで、発行者(自律システム識別子の保有者)は、ASPAを通じて1つ以上の他の自律システム(AS)を上流プロバイダとして認可することができる。検証することで、ASPAのeContentは経路漏洩の検出と軽減に利用できる。

要件言語

この文書のキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「NOT RECOMMENDED」、「MAY」、および「OPTIONAL」は、ここに示すように、すべて大文字で表示される場合に限り、 BCP 14 [RFC2119] [RFC8174]の記述に従って解釈される。

本文書の位置付け

本インターネット・ドラフトは、BCP78およびBCP 79の規定に完全に準拠して提出されている。

インターネット・ドラフトは、Internet Engineering Task Force (IETF)の作業文書である。他のグループも作業文書をインターネット・ドラフトとして配布する場合がある。現在のインターネット・ドラフトの一覧は、<https://datatracker.ietf.org/drafts/current/>にある。

インターネット・ドラフトは、最長6か月間有効なドラフト文書であり、いつでも更新、置き換え、または他の文書によって廃止される可能性がある。インターネット・ドラフトを参考資料として使用したり、「進行中の作業」以外の理由で引用することは不適切である。

このインターネット・ドラフトの有効期限は2024年12月27日である。

著作権表示

本文書は、BCP 78および文書の発行日において有効なIETF文書に関するIETFトラストの法的規定(<https://trustee.ietf.org/license-info>)に従うものとする。これらの文書には、本文書に関するあなたの権利と制限が記載されているため、注意深く確認して欲しい。文書から抽出されたコード・コンポーネントには、トラスト法的条項のセクション4.eに記載されている改訂BSDライセンスのテキストを含まなければならず、改訂BSDライセンスに記載されているように保証なしで提供する。

1. はじめに

リソース公開鍵基盤(RPKI)の主な目的は、ルーティング・セキュリティを向上させることである[RFC6480]。この基盤の一部として、カスタマとしての立場で自律システム(AS)識別子の保有者が、他ASをプロバイダとして認可することを容易にするメカニズムが必要である。プロバイダAS(PAS)とは以下のようなネットワークである:

カスタマにアウトバウンド(顧客からインターネット)のデータ・トラフィック接続を提供する、及び/または
さらに、カスタマが送信する可能性のあるBGPアップデートを全方向(プロバイダ、ラテラル・ピア、カスタマ方向)に伝播する。

本文書で説明するデジタル署名された自律システム・プロバイダ認可(ASPA)オブジェクトは、上記の認可メカニズムを提供する。

ASPAオブジェクトは、自律システム識別子の保有者(以下、「カスタマAS」またはCASと呼ぶ)が署名した、暗号的に検証可能な証明書である。ASPAには1つ以上のASのリストを含み、列挙されたASがプロバイダ・ネットワークとしての役割を果たすことが認可されていることを意味する。CASが複数のプロバイダを持つ場合、すべてのプロバイダASがASPAに列挙され、そこには非透過的なインターネット・エクスチェンジ・ポイント(IXP)の経路サーバ(RS)ASも含まれる。IXPのRS ASの一般的なケースは透過的に動作し([RFC7947]セクション2.2.2.1を参照)、そのような場合、IXP経路サーバのASNはASPAにPASとして登録されない。

自律システム(AS)がeBGPネイバーとピアリング関係を持つ可能性のあるBGPロールは、[ID.ietf-sidrops-aspa-verification]で説明されている。さまざまなシナリオにおけるASのASPA登録要件の詳細も規定されている。さらに、検証済みASPAペイロード(VAP)を使用してBGP UPDATEメッセージ内のAS_PATHを検証する手順も、その文書で説明されている。

このCMS[RFC5652]の保護されたコンテンツ・タイプの定義は、 RPKI署名オブジェクトの[RFC6488]テンプレートに準拠する。[RFC6488]のセクション4に従って、本文書では以下を定義する:

ASPA署名オブジェクトを識別するオブジェクト識別子(OID)。このOIDは、encapContentInfoオブジェクトのeContentTypeフィールドと、signerInfo構造体内の content-type署名属性に現れる。
CASが署名したペイロードであるASPAコンテンツのASN.1構文。ASPAコンテンツは、ASN.1 [X.680] Distinguished Encoding Rules (DER) [X.690]を使用して符号化される。
[RFC6488]が規定している検証手順を超えてASPA検証するために必要な手順。

2. ASPAコンテント・タイプ

ASPAのコンテント・タイプはid-ct-ASPAと定義され、1.2.840.113549.1.9.16.1.49の数値を持つ。このOIDは、encapContentInfo構造体内のeContentTypeとsignerInfo構造体内のcontent-type署名属性の両方に現れなければならない(MUST)([RFC6488]を参照)。

3. ASPA eContent

ASPAのコンテンツは、カスタマAS(CAS)と、CASがプロバイダとして認可したプロバイダASの集合(SPAS)を特定する。

ASPAを登録するユーザは、[ID.ietf-sidrops-aspa-verification]のセクション2、3、4を認識している必要があり、ユーザ(またはそのソフトウェア・ツール)は、同文書のセクション4のASPA登録の推奨事項に準拠しなければならない。

与えられたカスタマASに対して、非透過RS ASを含むすべてのプロバイダを含むシングルASPAオブジェクトを維持することが強く推奨される。このようなやり方は、ASPA更新中の競合状態を防ぐのに役立つ。そうでなければ、競合状態は経路伝播に影響を与えるかも知れない。ASPAレコードのホスティングを提供するソフトウェアは、この推奨事項の実施を支援する必要がある。異なるCAレジストリ間の移行プロセスの場合、ASPAレコードはその認可内容に関して、すべてのレジストリで同一に保たれる必要がある(SHOULD)。

ASPAのeContentはASProviderAttestationのインスタンスであり、正式には以下のASN.1[X.680]モジュールで定義されている。

RPKI-ASPA-2023
  { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1)
     pkcs-9(9) smime(16) modules(0) id-mod-rpki-aspa-2023(TBD) }

DEFINITIONS EXPLICIT TAGS ::=
BEGIN

IMPORTS
  CONTENT-TYPE
  FROM CryptographicMessageSyntax-2010  -- RFC 6268
    { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1)
       pkcs-9(9) smime(16) modules(0) id-mod-cms-2009(58) } ;

id-ct-ASPA OBJECT IDENTIFIER ::=
  { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1)
    pkcs-9(9) id-smime(16) id-ct(1) aspa(49) }

ct-ASPA CONTENT-TYPE ::=
  { TYPE ASProviderAttestation IDENTIFIED BY id-ct-ASPA }

ASProviderAttestation ::= SEQUENCE {
  version [0]   INTEGER DEFAULT 0,
  customerASID  ASID,
  providers     ProviderASSet }

ProviderASSet ::= SEQUENCE (SIZE(1..MAX)) OF ASID

ASID ::= INTEGER (0..4294967295)

END

このコンテンツは、[RFC6488]が規定するように、encapContentInfo内のeContentとして表示されることに留意する。

3.1. version

この仕様に準拠するASProviderAttestationのバージョン番号は1でなければならず(MUST)、明示的に符号化しなければならない(MUST)。

3.2. customerASID

customerASIDフィールドは、認可エンティティであるカスタマの自律システムのAS番号を含む。

3.3. providers

providersフィールドには、プロバイダとして認可しているAS一覧を含む。

providersフィールドに含まれる各要素は、ASIDのインスタンスである。各ASID要素には、カスタマASからプロバイダまたはRSとして認可されたASのAS番号を含む。

正式なASN.1定義で記述されている制約に加えて、providersフィールドのコンテンツは以下の制約を満たさなければならない(MUST):

customerASID値は、providersフィールドのどのASIDにも現れてはならない(MUST NOT)。
providersの要素は、昇順で並べなければならない(MUST)。
ASIDの各値は、providersの他の要素に対して一意でなければならない(MUST)。

4. ASPA検証

リライング・パーティーがルーティング・アナウンスを検証するためにASPAを使用する前に、リライング・パーティーは最初にASPAオブジェクト自体を検証しなければならない(MUST)。ASPAを検証するには、リライング・パーティーは[RFC6488]で規定されているすべての検証チェックと、以下の追加的なASPA固有の検証手順を実行しなければならない(MUST)。

自律システム識別子委任拡張[RFC3779]は、(ASPA内に含まれる)エンド・エンティティ(EE)証明書に存在しなければならず(MUST)、ASPA eContent内のカスタマASIDは、EE証明書の自律システム識別子委任拡張で指定されるAS番号に含まれていなければならない(MUST)。
EE証明書の自律システム識別子委任拡張には、「継承」要素を含んではならない(MUST NOT)。
IPアドレス委任拡張[RFC3779]は存在してはならない(MUST)。

5. IANAに関する考慮事項

5.1. S/MIMEモジュール識別子レジストリのSMIセキュリティ

以下のように、id-mod-rpki-aspa-2023をSMI Security for S/MIME Module Identifier (1.2.840.113549.1.9.16.0)レジストリ(<https://www.iana.org/assignments/smi-numbers/smi-numbers.xml#security-smime-0>)に追加する。

10進数	説明	仕様
TBD2	`id-mod-rpki-aspa-2023`	[将来のRFC]

5.2. S/MIME CMSコンテンツ・タイプ・レジストリのSMIセキュリティ

以下のように、ASPAをS/MIME CMSコンテンツ・タイプのSMIセキュリティ (1.2.840.113549.1.9.16.1)レジストリ(<https://www.iana.org/assignments/smi-numbers/smi-numbers.xml#security-smime-1>)に追加する。

10進数	説明	仕様
49	`id-ct-ASPA`	[将来のRFC]

5.3. RPKI署名オブジェクト・レジストリ

以下のように、RPKI署名オブジェクト・レジストリ(<https://www.iana.org/assignments/rpki/rpki.xhtml#signed-objects>)に自律システム・プロバイダ認可を追加する:

名前	OID	仕様
自律システム・プロバイダ認可	1.2.840.113549.1.9.16.1.49	[将来のRFC]

5.4. RPKIリポジトリ名スキーム・レジストリ

以下のように、[RFC6481]で作成された「RPKIリポジトリ名スキーム」レジストリに、自律システム・プロバイダ認可ファイル拡張子の項目を追加する。

ファイル名拡張	RPKIオブジェクト	仕様
.asa	自律システム・プロバイダ認可	[将来のRFC]

5.5. メディア・タイプ・レジストリ

IANAは、メディア・タイプapplication/rpki-aspaを以下のように「メディア・タイプ」レジストリに登録するよう要請する:

Type name: application
   Subtype name: rpki-aspa
   Required parameters: N/A
   Optional parameters: N/A
   Encoding considerations: binary
   Security considerations: Carries an RPKI ASPA [RFC-to-be].
       This media type contains no active content. See
       Section 4 of [RFC-to-be] for further information.
   Interoperability considerations: None
   Published specification: [RFC-to-be]
   Applications that use this media type: RPKI operators
   Additional information:
     Content: This media type is a signed object, as defined
         in [RFC6488], which contains a payload of a list of
         AS identifers as defined in [RFC-to-be].
     Magic number(s): None
     File extension(s): .asa
     Macintosh file type code(s):
   Person & email address to contact for further information:
     Job Snijders <job@fastly.com>
   Intended usage: COMMON
   Restrictions on usage: None
   Change controller: IETF

6. 実装に関する考慮事項

セクション3で規定されているASN.1プロファイルは、特定のカスタマASIDに対して登録できるプロバイダASの数に制限はないが、バリデータやRPKIサプライ・チェーンの他の場所に存在する制限を考慮する必要がある。例えば、1つのRPKI-To-RouterプロトコルASPA PDU([ID.ietf-sidrops-8210bis]のセクション5.12)に登録できるプロバイダASの数は $2^{16}$ という制限がある。サプライ・チェーンにおけるプロトコル制限に加えて、リライング・パーティーの実装が署名済みオブジェクトを受け入れることができる最大ファイル・サイズに対して、ローカルに定義された制限が存在する可能性もある。

リライング・パーティの実装は、特定のカスタマASIDのプロバイダASの数に上限を設定することを推奨する。上限値は4,000から10,000を推奨する。このしきい値を超えた場合、リライング・パーティの実装は、カスタマASIDに関連するすべてのASPAオブジェクトを無効として扱う必要がある(SHOULD)。つまり、プロバイダASの部分リストを発行しない。さらに、しきい値を超えたカスタマASIDを示すエラーはローカルシステムに記録する必要がある(SHOULD)。

実装者とオペレータは、グローバル・インターネット・ルーティング・システムの環境において、課された上限が依然として妥当であるかどうかを定期的に確認する必要がある(SHOULD)。

7. セキュリティに関する考慮事項

[RFC6481]、[RFC6485]、[RFC6488]のセキュリティに関する考慮事項も、ASPAに適用される。

8. 実施状況

このセクションはRFCとして公開する前に削除する必要がある。

このセクションは、このインターネット・ドラフトが公開された時点で、この仕様で定義されているプロトコルの既知の実装の状況を記録するもので、RFC 7942に記載されている提案に基づいている。このセクションの実装の説明は、IETFがドラフトをRFCに進めるための決定プロセスを支援することを目的としている。個々の実装の一覧は、IETFによる推奨を意味するものではないことに留意する。さらに、IETFの貢献者から提供されたここで提示された情報の検証には労力が費やされていない。これは、利用可能な実装やその機能のカタログとして意図されたものではなく、またそのように解釈してはならない。読者は、他の実装が存在する可能性があることに留意することを忠告する。

RFC 7942によれば、「これによって、レビュー担当者とワーキング・グループは、実行コードの利点を持つ文書に、十分な考慮を払うことができる。これは、実装されたプロトコルをより成熟した貴重な実験とフィードバックの証拠となる可能性がある。この情報を適切と思われる方法で使用するかどうかは、個々のワーキング・グループ次第である」

C言語で書かれたバリデータ実装[rpki-client](バージョン 8.5以降)は、Fastlyのジョブ・スナイデルスが提供した。
Rustで書かれたバリデータ実装[routinator]は、NLnet Labsのマーティン・ホフマンが提供した。
Haskellで書かれたバリデータ実装[rpki-prover]は、ミハイル・プザノフが提供した。
PerlでのSigner実装[rpki-aspa-demo]はAPNICのトム・ハリソンが報告した。
Javaでの署名実装[rpki-commons]は、RIPE NCCのタイ・デ・コックが報告した。
Rustでの署名実装[krill]は、NLnet Labsのティム・ブリュインツェルスが報告した。

9. 謝辞

著者は、ASPAプロファイル・プロジェクトの立ち上げに協力してくれたキール・パテル、ProviderASSetを標準形式にすることを提案してくれたタイ・デ・コックとティム・ブリュインツェルス、レビューといくつかの改善提案をしてくれたクラウディオ・イェカーとマーティン・ホフマンに感謝する。

寄稿者

以下の人々がこの文書に多大な貢献をした:

コティカラプディ・スリラム
米国国立標準技術研究所
メールアドレス: ksriram@nist.gov

参考文献

引用規格

[I-D.ietf-sidrops-8210bis] Bush, R. and R. Austein, "The Resource Public Key Infrastructure (RPKI) to Router Protocol, Version 2", Work in Progress, Internet-Draft, draft-ietf-sidrops-8210bis-12, 4 March 2024, <https://datatracker.ietf.org/doc/html/draft-ietf-sidrops-8210bis-12>.

[I-D.ietf-sidrops-aspa-verification] Azimov, A., Bogomazov, E., Bush, R., Patel, K., Snijders, J., and K. Sriram, "BGP AS_PATH Verification Based on Autonomous System Provider Authorization (ASPA) Objects", Work in Progress, Internet-Draft, draft-ietf-sidrops-aspa- verification-17, 29 February 2024, <https://datatracker.ietf.org/doc/html/draft-ietf-sidrops-aspa-verification-17>.

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <https://www.rfc-editor.org/info/rfc2119>.

[RFC3779] Lynn, C., Kent, S., and K. Seo, "X.509 Extensions for IP Addresses and AS Identifiers", RFC 3779, DOI 10.17487/RFC3779, June 2004, <https://www.rfc-editor.org/info/rfc3779>.

[RFC5652] Housley, R., "Cryptographic Message Syntax (CMS)", STD 70, RFC 5652, DOI 10.17487/RFC5652, September 2009, <https://www.rfc-editor.org/info/rfc5652>.

[RFC6481] Huston, G., Loomans, R., and G. Michaelson, "A Profile for Resource Certificate Repository Structure", RFC 6481, DOI 10.17487/RFC6481, February 2012, <https://www.rfc-editor.org/info/rfc6481>.

[RFC6485] Huston, G., "The Profile for Algorithms and Key Sizes for Use in the Resource Public Key Infrastructure (RPKI)", RFC 6485, DOI 10.17487/RFC6485, February 2012, <https://www.rfc-editor.org/info/rfc6485>.

[RFC6488] Lepinski, M., Chi, A., and S. Kent, "Signed Object Template for the Resource Public Key Infrastructure (RPKI)", RFC 6488, DOI 10.17487/RFC6488, February 2012, <https://www.rfc-editor.org/info/rfc6488>.

[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017, <https://www.rfc-editor.org/info/rfc8174>.

[X.680] ITU-T, "Information technology - Abstract Syntax Notation One (ASN.1): Specification of basic notation", ITU-T Recommendation X.680, 2021.

[X.690] ITU-T, "Information Technology - ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)", ITU-T Recommendation X.690, 2021.

参考規格

[krill] Bruijnzeels, T., "krill", 2023, <https://mailarchive.ietf.org/arch/msg/sidrops/ RrHCYTmevxDHgebdLC_adRlKH-o/>.

[RFC4648] Josefsson, S., "The Base16, Base32, and Base64 Data Encodings", RFC 4648, DOI 10.17487/RFC4648, October 2006, <https://www.rfc-editor.org/info/rfc4648>.

[RFC6480] Lepinski, M. and S. Kent, "An Infrastructure to Support Secure Internet Routing", RFC 6480, DOI 10.17487/RFC6480, February 2012, <https://www.rfc-editor.org/info/rfc6480>.

[RFC7947] Jasinska, E., Hilliard, N., Raszuk, R., and N. Bakker, "Internet Exchange BGP Route Server", RFC 7947, DOI 10.17487/RFC7947, September 2016, <https://www.rfc-editor.org/info/rfc7947>.

[routinator] Hoffman, M., "routinator", 2023, <https://github.com/NLnetLabs/rpki-rs/pull/264>.

[rpki-aspa-demo] Harrison, T., "rpki-aspa-demo", 2023, <https://github.com/APNIC-net/rpki-aspa-demo>.

[rpki-client] Snijders, J., "rpki-client", 2023, <https://marc.info/?l=openbsd-tech&m=168614057916956&w=2>

[rpki-commons] de Kock, T., "rpki-commons", 2023, <https://mailarchive.ietf.org/arch/msg/sidrops/nNAmZMrr7t9NMzm12jRXU03ABN4/>.

[rpki-prover] Puzanov, M., "rpki-prover", 2023, <https://github.com/lolepezy/rpki-prover/compare/master...aspa-profile-16>.

付録 A. ASPA eContent ペイロードの例

以下に、DER符号化されたASPA eContentの例を示す。「#」文字の後に注釈が付く:

$ echo 301da00302010102023cca301202020b620202205b020300c790020303259e \
  | xxd -r -ps | openssl asn1parse -inform DER -dump -i
    0:d=0  hl=2 l=  29 cons: SEQUENCE
    2:d=1  hl=2 l=   3 cons:  cont [ 0]
    4:d=2  hl=2 l=   1 prim:   INTEGER           :01
    7:d=1  hl=2 l=   2 prim:  INTEGER           :3CCA    # Customer ASID 15562
   11:d=1  hl=2 l=  18 cons:  SEQUENCE
   13:d=2  hl=2 l=   2 prim:   INTEGER           :0B62   # ProviderAS 2914
   17:d=2  hl=2 l=   2 prim:   INTEGER           :205B   # ProviderAS 8283
   21:d=2  hl=2 l=   3 prim:   INTEGER           :C790   # ProviderAS 51088
   26:d=2  hl=2 l=   3 prim:   INTEGER           :03259E # ProviderAS 206238

以下は、Base64[RFC4648]で符号化された完全なRPKI ASPA署名オブジェクトである。
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上記は以下のようにデコードされる:

Object SHA256 hash:          s25yLaks3OXBzJcW3ZgvlLDiPUpyZbQk2jDHaPDgn1w=
EE Subject key identifier:   E6:6F:34:7F:06:30:B3:FD:C5:88:50:FB:26:24:23:02:A6:75:45:84
EE Certificate issuer:       /CN=caa805dbac364749b9b115590ab6ef0f970cdbd8
EE Certificate serial:       A1C7752FF8B1D2E01F
EE Authority key identifier: CA:A8:05:DB:AC:36:47:49:B9:B1:15:59:0A:B6:EF:0F:97:0C:DB:D8
EE Authority info access:    rsync://rpki.ripe.net/repository/DEFAULT/yqgF26w2R0m5sRVZCrbvD5cM29g.cer
EE Subject info access:      rsync://chloe.sobornost.net/rpki/RIPE-nljobsnijders/5m80fwYws_3FiFD7JiQjAqZ1RYQ.asa
CMS Signing time:            Wed 07 Jun 2023 09:08:41 +0000
EE notBefore:                Wed 07 Jun 2023 09:08:14 +0000
EE notAfter:                 Thu 06 Jun 2024 09:08:14 +0000

ASPA eContent:
  Customer AS:               15562
  Provider Set:              1: AS: 2914
                             2: AS: 8283
                             3: AS: 51088
                             4: AS: 206238

⚠️ コメント

Base64ファイルは以下の方法でデコードできる。発行者証明書を取得できないため、検証は失敗となっている。

# cat sample.base64 | openssl base64 -d > sample.asa
# rpki-client -f sample.asa
File:                     sample.asa
Hash identifier:          s25yLaks3OXBzJcW3ZgvlLDiPUpyZbQk2jDHaPDgn1w=
rpki-client: rsync://rpki.ripe.net/repository/aca/KpSo3VVK5wEHIJnHC2QHVV3d5mk.cer: CRL has expired
Subject key identifier:   E6:6F:34:7F:06:30:B3:FD:C5:88:50:FB:26:24:23:02:A6:75:45:84
Certificate issuer:       /CN=caa805dbac364749b9b115590ab6ef0f970cdbd8
Certificate serial:       A1C7752FF8B1D2E01F
Authority key identifier: CA:A8:05:DB:AC:36:47:49:B9:B1:15:59:0A:B6:EF:0F:97:0C:DB:D8
Authority info access:    rsync://rpki.ripe.net/repository/DEFAULT/yqgF26w2R0m5sRVZCrbvD5cM29g.cer
Subject info access:      rsync://chloe.sobornost.net/rpki/RIPE-nljobsnijders/5m80fwYws_3FiFD7JiQjAqZ1RYQ.asa
Signing time:             Wed 07 Jun 2023 09:08:41 +0000
ASPA not before:          Wed 07 Jun 2023 09:08:14 +0000
ASPA not after:           Thu 06 Jun 2024 09:08:14 +0000
Customer ASID:            15562
Providers:                AS: 2914
                          AS: 8283
                          AS: 51088
                          AS: 206238
Validation:               Failed, unable to get local issuer certificate

著者のアドレス

アレクサンダー・アジモフ
Yandex
メールアドレス: aeazimov@gmail.com

ユージン・ウスコフ
JetLend
メールアドレス: eu@jetlend.ru

ランディ・ブッシュ
インターネットイニシアティブ
メールアドレス: randy@psg.com

ジョブ・スナイデルス
Fastly
アムステルダム
オランダ
メールアドレス: job@fastly.com

ラス・ハウスリー
Vigil Security, LLC
918 Spring Knoll Drive
Herndon, VA 20170
アメリカ合衆国
メールアドレス: housley@vigilsec.com

ベン・マディソン
Workonline
ケープタウン
南アフリカ
メールアドレス: benm@workonline.africa

更新履歴

2024.8.2

GitHubで編集を提案

要旨