活动回顾 | 大咖云集“开源安全治理模型和工具”线上研讨会

软件吞噬世界，而开源正在吞噬软件。越来越多企业开始关注如何解决混源开发模式下的软件供应链安全问题。软件供应链安全事件频发，已成为企业开展经营活动面临的重大隐患，也是所有安全厂商致力于要解决的问题。

7 月 22 日下午，中国信息通信研究院与 OpenSSF 中国开源安全工作组携手华为、中兴、安势信息等合作伙伴，围绕“开源安全治理的模型和工具”主题召开线上研讨会。研讨会邀请了 OpenSSF 中国开源安全工作组的专家、行业大咖共六位重磅嘉宾为大家带来精彩的主题演讲！

首先带来精彩分享的是 OpenSSF 亚太技术布道师 Donald Liu，Donald 在名为“SLSA、SBOM 与安全治理”的主题演讲中对 SLSA 的整体框架和 SLSA 1 到 4 级不同要求的技术规范进行了详细介绍；在软件包发布、第三方软件采购和在接受软件包的代码仓库的应用场景下，企业可基于 SLSA 对软件、供应链和它们的组成部分进行评级，帮助评估软件质量。对于 SBOM 和 SLSA 的结合，Donald 表示：SBOM 和 SLSA 可以搭配使用，遵循相关的 SLSA 原则可以更容易地生成更精准可信的 SBOM，帮助构建安全的软件供应链。对 SLSA 感兴趣的小伙伴可以加入 OpenSSF 的 Supply Chain Integrity 工作小组，共建安全开源生态。

现如今，混源开发模式已成为常态，开源软件的使用比例越来越高。但开源对安全是把双刃剑。

华为开源管理中心专家穆文锋带来了名为“开源关键项目识别和依赖关系风险评估”的精彩演讲。首先他指出开源软件存在的典型问题：太多的依赖，太少的维护者。特别是一些流行的著名开源组件被广泛使用时，一旦出现安全漏洞造成的后果往往非常严重。那么该如何改进开源项目的安全状况？穆文锋分别从开源软件关键项目识别、开源软件关键项目看护和开源软件项目安全分析三个方面介绍了业界在开源软件安全方面取得的优秀成果，并对 Census Program II、Critically Score、Alpha-Omega、Scorecord 项目进行了详细的讲解。最后他分享了 CII（Core Infrastructure Initiative）关键基础设施倡议，其中最佳实践徽章（The Best Practices Badge）是安全开源开发的典范。

随着软件供应链攻击浪潮愈演愈烈，全球开源基金会和开源组织贡献了很多优秀的开源安全治理模型和框架来帮助企业实现更安全的软件开发和部署流程。SLSA 作为创建“安全软件供应链”的框架，将供应链保护提升到了新的水平。那么如何将这些优秀的框架落地到企业的实践中？

上海安势信息技术有限公司资深解决方案架构师朱贤曼带来了名为“SLSA 和 SBOM 如何支撑企业应对供应链安全风险”的主题演讲，进一步分享了 SLSA 和 SBOM 在企业的落地实践和探索。随着开源组件使用的比例越来越高，企业很难通过维护 Excel 表格的形式去做统一的管理，不仅会浪费大量的人力，这种方式的准确性、有效性也值得商榷。目前在企业实践中，开发人员通过 SCA 工具生成 SBOM 清单来高效管理使用的开源组件。特别是针对产品线众多或覆盖全球销售市场的企业，SBOM 可发挥巨大的作用，助力企业追溯安全漏洞。

开源软件存在的安全风险除了来自于开源软件自身，还有供应链攻击。那么该如何应对软件供应链中的安全挑战？朱贤曼介绍道，SLSA 1 到 4 级可以在源代码、构建和来源/出处方面对代码进行技术规范要求，从而确保软件供应链的源代码完整性、构建完整性和可用性。遵循 SLSA 框架生成的 SBOM 内容会更准确、信息更丰富也更可信；便于用自动化程度更高的方式去集成 SBOM，并可扩展到其他的应用场景。

如今企业开发人员大量使用开源组件，而这些开源组件又分别来自不同的供应商即软件供应链，快速找到并修复其中的漏洞也变得越发艰难。

中国信通院知识产权与创新发展中心产业发展研究部张俊霞为大家带来了名为“SPDX 标准基本情况”的主题演讲。她指出企业对 SBOM 的需求转折期已经到来，未来大家对软件产业发展的透明性及其能够传递供应链级别的信息会有更多的需求。随后，张俊霞着重介绍了 SBOM 的最小元素和 SPDX 标准：SBOM 的最小元素支持基础 SBOM 功能的重要信息且将成为实现更高软件透明度的基础；SBOM 的最小元素将数据字段、自动化支持和实践和流程纳入了其广义的定义。SPDX 提供了一种格式，用于列出适用于软件包的特定许可证变体和版本。这种格式提供了更强的系统可读性，使得 SBOM 的能力扩展至软件生态系统。

在接下来的圆桌讨论环节，张俊霞还特别邀请了中兴通讯股份有限公司开源合规 &安全治理总监项曙明和中国电信研究院安全专家陈泳共同探讨开源安全治理模型和工具在企业具体实践中的痛点。面对开源合规治理，企业面临哪些挑战？安全治理模型、框架和工具如何在企业实践中落地？

中兴通讯股份有限公司开源合规 &安全治理总监项曙明首先针对以上问题进行了精彩分享。他表示：作为覆盖全球市场的国际化公司，中兴很早就已经构建可信供应链实践，以确保对产品的质量追踪溯源。同时，他强调了 SCA 工具在产生准确全面 SBOM 的重要性以及需要具有的能力，企业需要构建组件来源和版本治理的流程与规范。

中国电信研究院安全专家陈泳分享了中国电信基于 DevOps 的开源安全治理方面的经验。关于建立 PaaS 运营体系，中国电信制定了一系列规范，建立了“8 个统一”的开源治理体系，统一规范和检测能力，利用开源治理的思想，通过梳理对整体架构和流程进行统一。最后，陈泳表示中国电信正做筹建成立 OSPO。

相信通过专家们对开源安全治理模型和工具的详细解读和落地实践经验分享，大家对开源软件供应链安全治理有了更深入的认识。未来，期待能与更多的合作伙伴携手，共同守护中国软件供应链安全。

活动回顾 | 大咖云集“开源安全治理模型和工具”线上研讨会相关推荐

线下活动 × 深圳 | 大咖云集！第11届国际博士生论坛报名开启
国际博士生论坛(International Doctoral Forum)是由清华大学和香港中文大学于 2006 年联合发起的一项学术交流活动,至今已有 12 年的历史.2014 年起西北工业大学参与 ...
【线上直播】大咖云集，共同探讨区块链开源最佳实践及场景应用
众所周知,区块链技术的起源和发展都与开源社区有着紧密的联系,很多优质的区块链项目都发源于开源社区,并在社区中发展壮大.如今,区块链技术及开源区块链项目正在吸引着越来越多开发者的目光,那么在区块链火热发 ...
暑期2020“大咖说开源”之孙金城：参与 ASF 开源贡献的正确姿势
| 主办方: 中科院软件所.openEuler 社区.开源社 | 编辑:王皓月 | 设计:朱亿钦活动介绍 Overview 开源供应链点亮计划 - 暑期 2020 (https://isrc.isc ...
暑期2020“大咖说开源”之吴晟 | 如何做一个开源玩家
| 主办方: 中科院软件所.openEuler 社区.开源社 | 编辑:袁睿斌 | 设计:谭嘉露活动介绍 Overview 开源供应链点亮计划 - 暑期 2020 (https://isrc.isc ...
大咖云集！9月18日 Imagination Technologies 受邀参加2020中关村论坛
随着国内疫情逐步得到控制,不少线下活动开始恢复,一些令人期待的科技论坛陆续回归.本周,大咖云集的2020年中关村论坛迎来开幕.9月18日,Imagination Technologies 高管Andr ...
大咖说开源｜王伟：讲述高校开源创新的故事
"开源软件供应链点亮计划-暑期2020" 活动组委会联合 "开源社" 举办一系列的开源文化方面的讲座,深入了解开源文化及价值.参与开源社区的方式方法. 讲师:王 ...
大咖访谈 | 开源对安全是双刃剑——《大教堂与集市》中文译本作者卫剑钒...
| 转载自:开源雨林 | 编辑:周韵诗本期访谈阵容嘉宾:卫剑钒,<大教堂与集市>中文译本作者,北京大学信息科学技术学院计算机系理学博士,中国金融学会金融科技专委会委员.长期从事信息科技 ...
《大咖说开源第二季》五、六期
点击上方"开源社"关注我们 | 作者:叶雨秋.何莹 | 编辑:钱英宇 | 设计:宋传琪 | 责编:王玥敏开源供应链点亮计划 - 暑期系列是由中科院软件所和 openEuler 社 ...
《大咖说开源第二季》一、二期
点击上方"开源社"关注我们 | 作者:叶雨秋.何莹 | 编辑:钱英宇 | 设计:宋传琪.周颖 | 责编:王玥敏开源供应链点亮计划 - 暑期系列是由中科院软件所和 openEule ...
大咖说开源|谭中意：如何构建高效/安全/合规的开源软件供应链和国际开源合规标准？...
点击上方"开源社"关注我们 | 作者:叶雨秋 | 编辑:沈于蓝 | 设计:宋传琪.朱亿钦开源供应链点亮计划 - 暑期系列是由中科院软件所和 openEuler 社区共同举办的一项 ...

活动回顾 | 大咖云集“开源安全治理模型和工具”线上研讨会

活动回顾 | 大咖云集“开源安全治理模型和工具”线上研讨会相关推荐

最新文章

热门文章