彌合風(fēng)險(xiǎn)缺口 筑牢共享安全｜2023開(kāi)放原子全球開(kāi)源峰會(huì)開(kāi)源安全技術(shù)與實(shí)踐分論壇成功舉辦

6 月 12 日，2023 開(kāi)放原子全球開(kāi)源峰會(huì)開(kāi)源安全技術(shù)與實(shí)踐分論壇成功舉辦。本場(chǎng)論壇圍繞開(kāi)源軟件供應(yīng)鏈、開(kāi)源漏洞信息共享機(jī)制、開(kāi)源安全測(cè)試工具、人工智能新技術(shù)對(duì)開(kāi)源安全領(lǐng)域的影響等方向分享了技術(shù)和最佳實(shí)踐，討論了開(kāi)源安全領(lǐng)域最新產(chǎn)業(yè)動(dòng)態(tài)。

開(kāi)放原子開(kāi)源基金會(huì)理事長(zhǎng)孫文龍

孫文龍?jiān)谥罗o中表示，開(kāi)源軟件安全問(wèn)題逐漸引起了業(yè)界的重視，開(kāi)源軟件漏洞以及供應(yīng)鏈的攻擊，證明了保護(hù)開(kāi)源軟件和供應(yīng)鏈的緊迫性。2022 年 10 月成立的開(kāi)源安全委員會(huì)將按照前期的部署，以完善開(kāi)源安全治理體系、繁榮開(kāi)源安全生態(tài)為目標(biāo)，著力于聚焦聚集產(chǎn)業(yè)生態(tài)各方力量，提升開(kāi)源的安全治理水平。

分論壇上，舉行了開(kāi)源安全委員會(huì)主席、副主席授牌和開(kāi)源安全委員會(huì)新成員授牌儀式。

孫文龍理事長(zhǎng)為武延軍主席，任旭東、趙春副主席雷頒發(fā)聘書(shū)

孫文龍理事長(zhǎng)，武延軍主席，任旭東、趙春雷副主席開(kāi)源安全委員會(huì)新成員授牌

開(kāi)源安全委員會(huì)主席武延軍

武延軍首先介紹了開(kāi)源安全委員會(huì)成立以來(lái)的工作進(jìn)展情況與展望。

統(tǒng)信軟件 CTO 張磊

張磊表示，面對(duì)安全測(cè)試工具選擇中的困惑，形成一套有參考意義的、公開(kāi)、公平、公正的開(kāi)源安全測(cè)試工具規(guī)范至關(guān)重要。張磊從工具的原則、要求、執(zhí)行、寫(xiě)作和下一步規(guī)劃等方面進(jìn)行了詳細(xì)的闡釋。

南洋理工大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院教授、網(wǎng)絡(luò)安全實(shí)驗(yàn)室主任劉楊（YangLIU）

劉楊（Yang LIU）教授分享了 AI+DevSecOps 的最新研究成果，并從多個(gè)角度講述了 AI 驅(qū)動(dòng)的應(yīng)用現(xiàn)代化創(chuàng)新技術(shù)及其工程應(yīng)用。

螞蟻集團(tuán)安全專家余瞰

余瞰闡釋了面對(duì)技術(shù)原理各異，場(chǎng)景復(fù)雜，業(yè)界無(wú)可借鑒方案等挑戰(zhàn)，應(yīng)用安全測(cè)試技術(shù)（xAST）采用的研究方法和創(chuàng)新成果。

浙江大學(xué)研究員紀(jì)守領(lǐng)

紀(jì)守領(lǐng)通過(guò)對(duì)行業(yè)背景和實(shí)踐過(guò)程的介紹，具體闡釋了 UVScan 這一自動(dòng)化和可擴(kuò)展的系統(tǒng)如何檢測(cè)物聯(lián)網(wǎng)固件中的 TPC 使用違規(guī)。

工業(yè)和信息化部電子第五研究所軟件研究院政策與技術(shù)研究室主任云雷

云雷首先指出了開(kāi)源軟件漏洞情報(bào)共享的重要性，并表示國(guó)內(nèi)開(kāi)源漏洞信息感知時(shí)間有延遲，且尚未形成成熟高效的共享機(jī)制。他表示要共同吸引優(yōu)質(zhì)伙伴共建共治共享，用開(kāi)源的協(xié)作方式讓開(kāi)源代碼更安全。

openEuler 開(kāi)源安全委員會(huì)主席魏剛

魏剛先分享了 openEuler 社區(qū)安全框架，隨后就 openEuler 社區(qū)漏洞處理流程、openEuler 社區(qū)工具流水線及軟件供應(yīng)鏈安全能力進(jìn)行了具體的介紹。

奇安信科技集團(tuán)代碼安全事業(yè)部負(fù)責(zé)人韓建

韓建從開(kāi)源軟件生態(tài)發(fā)展與安全狀況、國(guó)內(nèi)企業(yè)軟件開(kāi)發(fā)中開(kāi)源軟件應(yīng)用狀況、典型開(kāi)源軟件供應(yīng)鏈安全風(fēng)險(xiǎn)實(shí)例分析等多個(gè)方面對(duì)開(kāi)源軟件供應(yīng)鏈安全進(jìn)行深入分析，并就開(kāi)源軟件供應(yīng)鏈安全保障給出相應(yīng)建議。

深信服千里目安全技術(shù)中心 CTO 王振興

王振興從開(kāi)源軟件面臨的安全風(fēng)險(xiǎn)入手，分析了當(dāng)前開(kāi)源安全風(fēng)險(xiǎn)治理面臨的挑戰(zhàn)，闡釋了深信服千里目技術(shù)中心認(rèn)為的開(kāi)源風(fēng)險(xiǎn)治理理念、并分享了深信服千里目安全技術(shù)中心在開(kāi)源零日漏洞治理、開(kāi)源安全漏洞發(fā)現(xiàn)、開(kāi)源安全風(fēng)險(xiǎn)管理的最新研究進(jìn)展和最佳實(shí)踐案例。

中國(guó)軟件評(píng)測(cè)中心軟件供應(yīng)鏈技術(shù)專家袁薇

袁薇以軟件供應(yīng)鏈模型為切入點(diǎn)，分析軟件供應(yīng)鏈安全風(fēng)險(xiǎn)產(chǎn)生的背景、常見(jiàn)風(fēng)險(xiǎn)類(lèi)型，以及軟件供應(yīng)鏈研究現(xiàn)狀和成果。她還分享了所在機(jī)構(gòu)的一套軟件供應(yīng) 2 鏈安全的評(píng)估方法，為保障軟件供應(yīng)鏈安全提供技術(shù)參考。

華為云產(chǎn)業(yè)戰(zhàn)略官?gòu)堜J剛

張銳剛介紹了開(kāi)源安全及軟件供應(yīng)鏈產(chǎn)業(yè)洞察、開(kāi)源治理面臨的產(chǎn)業(yè)挑戰(zhàn)，分享了華為云軟件工程可信在開(kāi)源治理的最佳實(shí)踐。提出開(kāi)源 OSS 的“安全+發(fā)展”并重平行發(fā)展思路，現(xiàn)代化的數(shù)字基礎(chǔ)設(shè)施構(gòu)建更需要可信的云基礎(chǔ)設(shè)施底座，通過(guò)可信治理構(gòu)筑軟件產(chǎn)業(yè)高質(zhì)量之基，通過(guò)開(kāi)源社區(qū)生態(tài)發(fā)展加快應(yīng)用現(xiàn)代化生態(tài)構(gòu)建。

深開(kāi)鴻未來(lái)研究院副研究員王潮

王潮先介紹了供應(yīng)鏈可信風(fēng)險(xiǎn)類(lèi)型，隨后從開(kāi)源軟件供應(yīng)鏈安全漏洞的傳播檢測(cè)、開(kāi)源軟件供應(yīng)鏈組件沖突等方面具體介紹了供應(yīng)鏈可信風(fēng)險(xiǎn)消解的實(shí)踐路徑。

圓桌論壇環(huán)節(jié)，武延軍、任旭東、趙春雷、Yang LIU、紀(jì)守領(lǐng)和國(guó)家能源集團(tuán)數(shù)據(jù)中心網(wǎng)絡(luò)安全中心副總經(jīng)理平雷等人就做好開(kāi)源領(lǐng)域的漏洞管理、開(kāi)源供應(yīng)鏈安全、技術(shù)革新的挑戰(zhàn)與機(jī)遇等話題展開(kāi)探討，充分交流各自看法。

本場(chǎng)開(kāi)源安全技術(shù)與實(shí)踐分論壇搭建起專業(yè)的行業(yè)交流平臺(tái)，分享了諸多高質(zhì)量的見(jiàn)地和具有實(shí)際效用的思考。通過(guò)直面開(kāi)源安全領(lǐng)域的挑戰(zhàn)，開(kāi)源安全技術(shù)與實(shí)踐分論壇為行業(yè)提供有價(jià)值、有意義的多元化解決方案，為開(kāi)源的快速發(fā)展和風(fēng)險(xiǎn)防范探索最佳的平衡點(diǎn)，為彌補(bǔ)風(fēng)險(xiǎn)缺口、共筑安全底線提供了更多的可能。

審核編輯黃宇