精華內(nèi)容回顧 |OpenSSF開源安全中國(guó)峰會(huì)

2022年11月7日（周一），OpenSSF開源安全基金會(huì) 攜手中國(guó)信息通信研究院和開源科技OSTech，借助IOSF國(guó)際開源節(jié)，在深圳成功舉辦了?“OpenSSF開源安全中國(guó)峰會(huì)”。雖然疫情反復(fù)無(wú)常，行業(yè)專家對(duì)開源安全的熱情不減，十多位大咖線上線下分享了他們?cè)陂_源軟件供應(yīng)鏈安全的真知灼見、聚焦開源產(chǎn)業(yè)發(fā)展現(xiàn)狀與趨勢(shì)，研討企業(yè)如何應(yīng)對(duì)開源軟件供應(yīng)鏈安全問題、探討開源面臨的新環(huán)境，開源軟件供應(yīng)鏈安全如何在企業(yè)落地、共同保障開源供應(yīng)鏈安全等，全日峰會(huì)有高達(dá)40萬(wàn)人次通過線上直播收看
?

開源軟件安全基金會(huì)(OpenSSF)總經(jīng)理Brian Behlendorf 在大會(huì)發(fā)表幕式致辭，探討《如何保證軟件供應(yīng)鏈上游安全，解決導(dǎo)致Log4Shell軟件供應(yīng)鏈中的系統(tǒng)性問題》，介紹了開源安全基金會(huì)如何幫助國(guó)際開源軟件安全社區(qū)、通過教育建設(shè)中國(guó)社區(qū)、賦能中國(guó)開發(fā)人員成為開源軟件安全的貢獻(xiàn)者、推動(dòng)整個(gè)開源軟件和其他領(lǐng)域的系統(tǒng)性變革。

接下來(lái)是來(lái)自中國(guó)信息通信研究院的高級(jí)工程師張俊霞分享了《開源面臨的新環(huán)境》議題。隨著“軟件定義世界”這一進(jìn)程的快速推進(jìn)，開源軟件也滲入到工業(yè)生產(chǎn)各個(gè)領(lǐng)域和環(huán)節(jié)。由于開源特有的協(xié)作模式與使用方式，在傳統(tǒng)軟件安全問題基礎(chǔ)上，又帶來(lái)了治理分散化、影響廣泛化和依賴復(fù)雜化等問題。同時(shí)，開源開源軟件許可協(xié)議引發(fā)的訴訟和技術(shù)管制等問題也影響著開源軟件供應(yīng)鏈安全。因此，企業(yè)應(yīng)加強(qiáng)對(duì)開源治理的重視，深入了解開源規(guī)則，并積極參與開源。

然后，安勢(shì)信息資深解決方案架構(gòu)師朱賢曼分享了《企業(yè)如何應(yīng)對(duì)開源軟件供應(yīng)鏈安全問題》議題。在全球開源軟件蓬勃發(fā)展的大背景下，很少有企業(yè)/組織不使用開源軟件，且開源組件的使用占比非常高。但近年來(lái)頻繁爆發(fā)的開源軟件供應(yīng)鏈安全事件，使企業(yè)/組織意識(shí)到開源軟件的使用帶來(lái)的巨大風(fēng)險(xiǎn)。如何保障開源軟件供應(yīng)鏈安全是一個(gè)系統(tǒng)工程，需要開源生態(tài)中的各方一起協(xié)作努力。

中興通訊無(wú)線開源總監(jiān)張曉波在主題演講《開源軟件供應(yīng)鏈安全如何在ZTE落地》介紹中興通訊經(jīng)過多年的實(shí)踐，分享是如何確保開源軟件供應(yīng)鏈安全在ZTE公司內(nèi)高效的落地。?

圓桌論壇

《開源供應(yīng)鏈安全》

開源是建立在信任之上的共同創(chuàng)新，Linux 基金會(huì)成立OpenSSF開源安全基金會(huì)的主要目的就是為這份來(lái)之不易的信任提供全面的安全保障！根據(jù)多份最新開源審計(jì)報(bào)告顯示，97%的商業(yè)軟件含有開源代碼，而且開源代碼含量高達(dá)90%以上，其中最少81%的軟件發(fā)現(xiàn)漏洞，超過50%有軟件許可證沖突，平均每個(gè)商業(yè)軟件使用的開源組件超過300個(gè)，78%的受檢代碼庫(kù)至少包含一個(gè)漏洞，每個(gè)代碼庫(kù)平均有64個(gè)漏洞。

中國(guó)信息通信研究院高級(jí)工程師張俊霞、華為技術(shù)有限公司開源發(fā)展總監(jiān)崔錦國(guó)、OpenSSF 中國(guó)工作組副組長(zhǎng)、極狐(GitLab) DevOps 布道師馬景賀、數(shù)澈軟件SEAL聯(lián)合創(chuàng)始人江鵬、奇科厚德副總經(jīng)理、LFAPAC開源軟件布道師龍文選在高峰圓桌論壇上就《開源供應(yīng)鏈安全》話題進(jìn)行了熱烈而深入的討論，嘉賓們分別介紹了發(fā)生在自己身邊的和了解到的軟件安全時(shí)間，從而開啟了討論的話題，探討話題包括為什么我們現(xiàn)在需要緊急關(guān)注開源軟件供應(yīng)鏈安全、現(xiàn)在需要關(guān)注的關(guān)鍵領(lǐng)域和應(yīng)對(duì)步驟是什么，如何從臨時(shí)性安全轉(zhuǎn)向系統(tǒng)化、有效地解決開源軟件安全，在未來(lái)1-2年內(nèi)中國(guó)的開源安全領(lǐng)域會(huì)發(fā)生什么，需要發(fā)生什么，我們需要避免哪些陷阱，需要抓住哪些機(jī)會(huì)等。嘉賓們一致認(rèn)為當(dāng)前的供應(yīng)鏈安全問題還很嚴(yán)峻，需要政府、企業(yè)、開發(fā)者的共同努力，特別是軟件開發(fā)企業(yè)，需要有系統(tǒng)的、全方位的解決供應(yīng)鏈安全的思路、策略、方法和流程，各位嘉賓對(duì)此也提出了自身應(yīng)對(duì)開源供應(yīng)鏈安全挑戰(zhàn)的建議。加入OpenSSF可以幫助大家開拓思路、群策群力共同應(yīng)對(duì)當(dāng)前的問題，并且認(rèn)為經(jīng)過未來(lái)幾年的努力，我們的軟件供應(yīng)鏈將有較大的提升。

下午場(chǎng)的內(nèi)容同樣豐富，由Linux基金會(huì)開源供應(yīng)鏈安全總監(jiān) David A. Wheeler博士展開，David是開發(fā)安全軟件和開源軟件（OSS）開發(fā)方面的專家，他在演講介紹了 OpenSSF開源安全基金會(huì)的最佳實(shí)踐工作組，包括評(píng)估開源軟件的簡(jiǎn)明指南、開發(fā)安全軟件的簡(jiǎn)明指南、安全軟件開發(fā)基礎(chǔ)知識(shí)課程、OpenSSF最佳實(shí)踐徽章以及OpenSSF Security Scorecards。

Scan tist聯(lián)合創(chuàng)始人、新加坡南洋理工大學(xué)（NTU）計(jì)算機(jī)學(xué)院劉楊教授發(fā)表《開源安全：挑戰(zhàn)、解決方案和機(jī)遇》演講，討論軟件供應(yīng)鏈的嚴(yán)峻形勢(shì)、面臨的威脅及其存在的脆弱性，保護(hù) OSS環(huán)境的挑戰(zhàn)，同時(shí)展示在保護(hù)開源供應(yīng)鏈安全方面的努力和解決方案包括：軟件組件分析（SCA）、 OSS供應(yīng)鏈分析、許可證相關(guān)的風(fēng)險(xiǎn)管理、基于人工智能的安全漏洞分析等方面的技術(shù)，重點(diǎn)列舉有關(guān)開源安全的潛在機(jī)遇，進(jìn)一步研究延續(xù)相關(guān)領(lǐng)域的探索。

華為技術(shù)有限公司開源發(fā)展總監(jiān)崔錦國(guó)發(fā)表了《開源供應(yīng)鏈安全風(fēng)險(xiǎn)防范的心行踐諾》的演講，內(nèi)容總結(jié)：開源軟件的安全發(fā)展，需要系統(tǒng)性的思考。因?yàn)轱L(fēng)險(xiǎn)隨時(shí)可能發(fā)生，我們需要深入國(guó)際市場(chǎng)逐步讓開源成為有效手段。并且構(gòu)建立足中國(guó)、面向世界的開源供應(yīng)鏈管理體系；建立開源安全標(biāo)準(zhǔn)體系，覆蓋開源治理關(guān)鍵要素；建設(shè)符合安全治理要求、提升治理效率的工程能力及工具鏈；將“安全可靠，合法使用” 作為引入開源軟件的核心；堅(jiān)持“解決問題，創(chuàng)造價(jià)值”的開源理念，貢獻(xiàn)開源。新形勢(shì)下開源意識(shí)亟需轉(zhuǎn)變，開源需要眾智、生態(tài)、共享。?

匯豐科技證券技術(shù)服務(wù)部門DevSecOps負(fù)責(zé)人周紀(jì)海在主題演講《DevSecOps在大型銀行的體系建設(shè)和落地實(shí)踐》分享包含了DevSecOps的簡(jiǎn)介、現(xiàn)狀、實(shí)現(xiàn)DevSecOps的挑戰(zhàn)、 DevSecOps常用的工具，結(jié)合在銀行的案例詳細(xì)講解如何建立DevSecOps體系，以及如何落地DevSecOps。

OpenSSF 中國(guó)工作組副組長(zhǎng)、極狐(GitLab) DevOps 布道師馬景賀分享了《開源軟件供應(yīng)鏈安全的背后邏輯與應(yīng)對(duì)之道》的演講，重點(diǎn)講述使用開源軟件的企業(yè)/組織如何應(yīng)對(duì)開源軟件供應(yīng)鏈安全問題，如何增強(qiáng)安全合規(guī)風(fēng)險(xiǎn)管控和安全態(tài)勢(shì)感知能力。

數(shù)澈軟件聯(lián)合創(chuàng)始人江鵬在演講議題《從代碼到部署-云原生時(shí)代的開源軟件供應(yīng)鏈安全》分享探討如何結(jié)合DevOps流水線各階段進(jìn)行軟件系統(tǒng)的構(gòu)成分析，結(jié)合各階段的SBOM信息對(duì)構(gòu)成應(yīng)用系統(tǒng)的軟件供應(yīng)鏈的變化進(jìn)行追蹤、關(guān)聯(lián)、控制，以全局視角提升開源軟件供應(yīng)鏈的可見性及安全性。

新思科技開源治理專家王永雷主題演講《基于OpenSSF Scorecards構(gòu)建安全可信的開源軟件》-開源安全越來(lái)越引起全球政府和組織機(jī)構(gòu)的重視，Linux基金會(huì)的OpenSSF Scorecard項(xiàng)目，通過對(duì)開源項(xiàng)目制定安全標(biāo)準(zhǔn)，并針對(duì)這些標(biāo)準(zhǔn)進(jìn)行檢查和打分，自動(dòng)生成安全的指數(shù)來(lái)幫助使用者針對(duì)使用的開源的組件做出開源風(fēng)險(xiǎn)的決策，那么如何從源頭來(lái)提升開源軟件的安全性，如何幫助開源組件的開發(fā)者和社區(qū)提升開源軟件的安全性，構(gòu)建安全可信的開源軟件軟件和生態(tài)是我們今天想分享的內(nèi)容。

奇科厚德副總經(jīng)理、LF APAC開源軟件布道師龍文選發(fā)表《試論如何用開源技術(shù)做好信創(chuàng)》演講。?信創(chuàng)即是指“信息技術(shù)應(yīng)用創(chuàng)新”，包含硬件和軟件兩個(gè)方面。做信創(chuàng)軟件，離不開開源軟件，因此我們應(yīng)該以比過去更加開放的態(tài)度，擁抱開源，參與全球軟件供應(yīng)鏈生態(tài)，把開源作為我國(guó)與全球先進(jìn)軟件技術(shù)連接的橋梁。演講者首先介紹了信創(chuàng)的起源和全球軟件業(yè)對(duì)開源使用的現(xiàn)狀，接著分析了利用開源打破軟件供應(yīng)鏈斷供的可能性，最后為中國(guó)利用開源做信創(chuàng)軟件產(chǎn)業(yè)提出了建議。

水木羽林CTO白易元在《運(yùn)用模糊測(cè)試保障開源軟件供應(yīng)鏈安全》演講中介紹模糊測(cè)試技術(shù)特點(diǎn)，其在LF、OpenSSF、CNCF等組織中保護(hù)開源軟件供應(yīng)鏈安全的現(xiàn)狀與貢獻(xiàn)，及應(yīng)用推廣的挑戰(zhàn)與方案。

全日峰會(huì)有高達(dá)40萬(wàn)人次通過線上直播收看，許多開源安全同仁、開發(fā)者在峰會(huì)結(jié)束后直呼意猶未盡，大家都期待了解、參與更多開源安全相關(guān)的活動(dòng)。OpenSSF將承載著大家的期望繼續(xù)進(jìn)步，帶來(lái)更多精彩的活動(dòng)，也希望越來(lái)越多的開源安全同仁、開發(fā)者加入OpenSSF開源安全這個(gè)充滿活力的社區(qū)。感謝各位的陪伴與支持！

關(guān)于開源科技OSTech
?

深圳市開源科技咨詢有限公司（簡(jiǎn)稱：OSTech）具備成熟的互聯(lián)網(wǎng)企業(yè)市場(chǎng)拓展、開發(fā)者社區(qū)運(yùn)營(yíng)托管服務(wù)以及開源生態(tài)合作成長(zhǎng)體系。OSTech擁有兼具戰(zhàn)略理念與實(shí)戰(zhàn)經(jīng)驗(yàn)的創(chuàng)意團(tuán)隊(duì)，高效靈活的執(zhí)行團(tuán)隊(duì)，規(guī)范成熟的項(xiàng)目管控機(jī)制，提供從早期策劃、設(shè)計(jì)到執(zhí)行環(huán)環(huán)相扣的全方位運(yùn)營(yíng)服務(wù)，力求帶給客戶最專業(yè)、前沿和實(shí)效的服務(wù)。