精品久久久久久久999999吃药,99久久精品国产自在首页,国产激情电影综合在线观看

“開放原子開發(fā)者工作坊”是由開放原子開源基金會發(fā)起的面向廣大開發(fā)者的線下開源交流活動，旨在分享開發(fā)者參與社區(qū)建設的心得和體會、分享開發(fā)經(jīng)驗。與志同道合的開發(fā)者們相互交流開發(fā)經(jīng)驗、分享開發(fā)心得、獲取前沿技術(shù)趨勢。

隨著科技的飛速發(fā)展和數(shù)字化進程的加速，開源軟件已經(jīng)成為了軟件開發(fā)的重要趨勢。而開源安全問題也日益突出，如何夯實開源安全基石，構(gòu)筑安全的開源“護城河”，已成為企業(yè)實現(xiàn)高質(zhì)量發(fā)展的重要課題。

9月15日，由開放原子開源基金會主辦的“開放原子開發(fā)者工作坊”第三期活動成功舉辦。活動以“源安全——論開源項目的安全之道”為主題，邀請深信服千里目安全技術(shù)中心CTO王振興，Linux基金會亞太區(qū)總監(jiān)楊軒，中興通訊OSPO主要成員李響，OpenSSF董事、華為開源發(fā)展總監(jiān)&開源安全Leader崔錦國四位大咖齊聚一堂，展開一場精彩紛呈的思想碰撞。白鯨開源高級社區(qū)經(jīng)理曾輝主持活動。

識漏洞、甄風險

開源安全日常之道

主持人：開發(fā)團隊日常如何有效管理開源依賴和及時更新，降低組件漏洞的安全風險？需要哪些工具或計劃來改進現(xiàn)狀？

Linux基金會亞太區(qū)總監(jiān)

楊軒

楊軒：使用開源軟件需要綜合多方面的考慮。一是人員能力，開發(fā)者需要對開源體系有完備的認知，并了解每一種開源軟件許可證的特點，以避免不必要的麻煩；二是開發(fā)者需要為自己的項目建立軟件使用清單，了解如何控制版本，是否有漏洞、補丁等問題；三是針對企業(yè)、團隊建立開源安全框架也非常重要。目前市面上有很多工具能夠自動化掃描并生成使用清單，從而提高工作效率。同時，團隊參與人員需要充分了解其所使用軟件的開源社區(qū)屬性，以便出現(xiàn)問題時能夠迅速響應。

深信服千里目安全技術(shù)中心CTO

王振興

王振興：改善計劃涵蓋了“管理”和“技術(shù)”兩個層面，以技術(shù)角度為例，一是物料清單方面，借助于良好的工具可以直接對開源軟件所依賴管理的數(shù)據(jù)進行梳理；二是風險識別方面，國內(nèi)的CNVD和NVDB，以及國外的CVE漏洞，都能夠保證漏洞的全面覆蓋，并能及時進行更新；三是面對漏洞可能被利用的風險，可以進行污點追蹤，并梳理代碼中的函數(shù)調(diào)用關(guān)系；四是在修復方面，可以考慮集成安全的SDK，以及利用RASP技術(shù)進行代碼育苗。在OpenSSF基金會有多個專注于不同領(lǐng)域的工作組，通過適用不同場景的技術(shù)解決實際問題。

OpenSSF董事、華為開源發(fā)展總監(jiān)&開源安全Leader

崔錦國

崔錦國：在管理方面，首先，許多開源社區(qū)都設有專門的安全工作組，而商業(yè)公司則更需要建立與軟件開源和安全相關(guān)的模塊、組織和技術(shù)工具，以承擔更多的法律責任、客戶交付和合同責任，因此建立一套與開源安全相關(guān)的管理實踐至關(guān)重要。其次，在安全規(guī)范的基礎上，還需對開源軟件供應鏈建立相應的管理機制，包括開源軟件生命周期的管理，使其能夠在管理框架下開發(fā)更多高質(zhì)量的軟件。最后，需要相關(guān)執(zhí)行團隊和相應的工具提供支撐，只有具備了工具、人員和管理規(guī)范，并在不斷地規(guī)范約束下，開發(fā)人員才能形成肌肉記憶，保證社區(qū)開發(fā)出安全、高質(zhì)量的軟件。

中興通訊OSPO主要成員

李響

李響：首先，引用開源軟件確實存在一定的風險，一般情況下，企業(yè)需要制定相關(guān)規(guī)章制度來治理開源軟件的使用，確保將產(chǎn)品中引入開源軟件造成的風險降到最低。其次，針對依賴和更新問題，我們傾向于保持產(chǎn)品的穩(wěn)定性，并且盡可能將版本保持在相對合理的區(qū)間，通常這個周期是4年之內(nèi)。最后，為確保產(chǎn)品的安全性，需要在產(chǎn)品發(fā)布前進行SCA掃描，形成SBOM，治理所有高危漏洞和可能對產(chǎn)品產(chǎn)生影響的低危漏洞。

白鯨開源高級社區(qū)經(jīng)理

曾輝

錨定位、快修復

安全漏洞無機可乘

主持人：當遇到高危漏洞，如何快速定位和修復？業(yè)界可以建立哪些信息共享和漏洞預警平臺？

王振興：對于高危漏洞的挖掘，可以采用工具與人工相結(jié)合的方式。在產(chǎn)品上線后，可以采用漏洞獵捕的方式對高危漏洞進行管理，使用多種工具進行流量監(jiān)測，并通過語義語法的人工智能引擎來識別已知和未知風險點。同時，結(jié)合攻擊包和響應包，對已經(jīng)成功執(zhí)行的漏洞進行判別，進而發(fā)現(xiàn)真正的漏洞。

目前已有工業(yè)和信息化部的NVDB漏洞庫、國測的CNNVD和CNCERT的CNVD。然而，市面上還沒有專門針對開源漏洞的平臺，開放原子開源基金會正在籌備針對開源漏洞的項目，這將是一個包含開源軟件漏洞的平臺，期待這個平臺的推出能填補當前行業(yè)空白。

崔錦國：漏洞并不可怕，需要我們對其引起足夠的重視。一方面我們要加強在社區(qū)推行安全編碼規(guī)范，減少因編碼不規(guī)范而造成的漏洞；另一方面希望大家發(fā)現(xiàn)漏洞的時候能盡可能上報。社區(qū)通常會建立漏洞上報機制和規(guī)范，同時在法律上也有相關(guān)的法規(guī)要求和指導，以合法合規(guī)的方式給出解決方案。針對漏洞的收錄，國內(nèi)外已建立了相應的漏洞平臺，同時開放原子開源基金會安全委員會也正在建設開源漏洞信息共享平臺，屆時歡迎大家體驗使用。

李響：關(guān)于漏洞方面的問題，SCA軟件只能發(fā)現(xiàn)已知漏洞，而未知漏洞需要通過其他安全工具來發(fā)現(xiàn)，并且需要具備在48小時內(nèi)快速解決問題的能力。對于項目而言，應識別出重要的開源軟件，并具備一定的代碼維護能力，以便在緊急情況下能夠及時修復漏洞并向社區(qū)提交patch。

建社區(qū)、守安全

開發(fā)者齊心協(xié)力

主持人：如何在開源社區(qū)建立安全維護的長效機制，避免老舊組件的遺留漏洞長期未修復？代碼審計和漏洞賞金計劃等方式是否可行？

楊軒：如果我們把整個中國看成一個大的社區(qū)，Linux基金會和開放原子開源基金會可以攜手借鑒消費者委員會的模式，讓開源軟件的開發(fā)者也能擁有發(fā)現(xiàn)漏洞并報告的機制。另外，我認為中國參與開源安全領(lǐng)域的開發(fā)者數(shù)量還遠遠不夠，大多數(shù)開發(fā)者都是被動等待別人發(fā)現(xiàn)bug并解決問題，缺乏主動參與安全研究和軟件修復的意識和能力。為了改善這一狀況，我呼吁所有開發(fā)者都能夠積極參與開源安全的建設，Linux基金會提供了一些幫助大家提高開源安全方面的免費課程，歡迎大家踴躍參加。

崔錦國：參與開源活動是拓展渠道的好方式，大家可以互相交流實踐經(jīng)驗，共同提高社區(qū)和軟件的安全管理水平。從實踐角度來看，我們在引入開源軟件時應遵循系統(tǒng)性規(guī)則，從開源軟件的官方社區(qū)下載或引用，避免引入被投毒或被污染的軟件。在建立了開源軟件合規(guī)管理規(guī)范的企業(yè)，開發(fā)人員對開源軟件的使用一般需要申請并經(jīng)過評估后才能使用。此外，還需要對引入的開源軟件進行生命周期管理，定期對其進行評估和治理。與此同時，對于老舊缺乏維護的開源軟件應考慮退出機制，做到及時更新，從而保證產(chǎn)品的穩(wěn)定性和安全性。最后，我們不應把安全當作成本，而應該將安全視為質(zhì)量的組成部分，這樣才能帶來更好的用戶體驗和商業(yè)機會。

李響：開源社區(qū)的機制十分重要，希望企業(yè)和開源基金會等組織能夠制定引入開源軟件的規(guī)范和更新要求，并將其反饋到開源社區(qū)中。在開源社區(qū)中，很難約束開發(fā)者形成共識，因此需要鼓勵開發(fā)人員積極參與社區(qū)并為社區(qū)做出貢獻，修復安全領(lǐng)域漏洞，并與社區(qū)共享，幫助其他開發(fā)者避免類似問題，提升社區(qū)整體安全水平，促進社區(qū)進步與發(fā)展。

王振興：長期未修復的漏洞問題需要重視，我們可以參考等級保護制度，將安全劃分為不同等級，同時對關(guān)鍵行業(yè)和基礎設施中使用的開源組件進行識別和優(yōu)先處理。除上述提到的掃描方法外，還可以考慮針對關(guān)鍵項目和軟件采取眾測模式，號召社會上攻防能力較強的人員參與測試關(guān)鍵軟件，發(fā)現(xiàn)其中的關(guān)鍵漏洞。

目前，單純以賞金的模式激勵開發(fā)者收效甚微，并且感興趣的開發(fā)者也比較少。因此，一方面可以考慮是否給予精神獎勵，另一方面聯(lián)合安全廠商和社區(qū)，通過頒發(fā)證書等方式將更多安全力量引入開源社區(qū)。

育人才、保技能

共建和諧、安全的開源生態(tài)

主持人：面對不斷升級的開源安全挑戰(zhàn)，專業(yè)人才必不可少，對企業(yè)開源安全人才的培養(yǎng)，各位老師有何建議？

楊軒：開源軟件安全方面存在博弈過程，我們需要平衡開發(fā)任務和安全需求之間的關(guān)系。一方面，許多開源團隊的負責人面臨著完成任務的壓力，往往主要關(guān)注軟件的開發(fā)進度，而安全問題則被視為次要任務。另一方面，企業(yè)需要建立完善的制度和開源安全團隊，以確保開發(fā)團隊能夠滿足安全需求。同時，開發(fā)人員還需要充分了解安全實踐，養(yǎng)成良好的習慣，形成肌肉記憶，從而可以大幅降低日后出現(xiàn)安全隱患的風險，更好地促進開源軟件的安全發(fā)展。

王振興：開源安全人才的培養(yǎng)是我們必須要面對的問題。企業(yè)可以自行培養(yǎng)具備綜合技能和素質(zhì)的復合型人才，相關(guān)人才需要具備如下關(guān)鍵素質(zhì)和能力：一是需要了解和掌握一定的漏洞知識；二是需要具備一定的法律知識，了解合規(guī)性等方面的要求；三是需要了解市場，以便在采購第三方軟硬件時能夠把控安全風險。我認為，人才最好的培養(yǎng)方式便是在不同的崗位上進行歷練，通過輪崗的方式，開發(fā)者可以接觸到更多的業(yè)務和實踐機會，從而更好地提升綜合技能和素質(zhì)。

崔錦國：人才培養(yǎng)沒有固定的標準，對于開源社區(qū)來說，點燃開發(fā)者興趣并引導開發(fā)者投入其中是發(fā)展開源社區(qū)的重要一環(huán)。當開發(fā)者對某個社區(qū)或領(lǐng)域感興趣時，便愿意主動投入時間和精力去學習和探索。在開源社區(qū)中，可以通過參與技術(shù)交流會議、撰寫文章等方式分享自己的經(jīng)驗教訓，不僅可以提升自己的能力和水平，還可以為開源社區(qū)的發(fā)展做出貢獻。同時，這也是一個結(jié)交朋友、拓展人際關(guān)系的好機會。

李響：從企業(yè)內(nèi)部使用開源的角度來看，我們需要關(guān)注安全培訓、中層安全人才以及開源治理等方面。首先，針對安全培訓制定規(guī)章制度和流程，以確保開發(fā)人員能夠按照相關(guān)規(guī)定滿足安全要求；其次，每個項目都應該有負責安全方面的總監(jiān)，在各個項目內(nèi)依據(jù)公司整體的安全規(guī)章制度領(lǐng)導安全治理工作；最后，開源治理作為產(chǎn)品安全工作的組成部分，每個項目都需要專職副總監(jiān)負責整個項目的開源治理活動，確保相關(guān)規(guī)章制度得到落實。

楊軒：Linux基金會提供的云原生安全認證是含金量很高的證書。通過管理員認證是獲得安全認證的先決條件，并且獲得安全認證的收入通常比其他認證高。隨著歐美國家不斷出臺軟件安全法規(guī)，對安全人才的需求也越來越大，雖然國內(nèi)大廠壟斷了大部分的安全人才，但此類證書還是給希望加入安全領(lǐng)域的開發(fā)者提供了機會。

活動現(xiàn)場，參會者們積極發(fā)言，和四位嘉賓就各自領(lǐng)域中的安全問題進行了討論，專家們逐一作出回答，現(xiàn)場討論的氣氛一度非常熱烈。

后續(xù)“開放原子開發(fā)者工作坊”系列線下交流會將定期舉辦，每期將開展不同領(lǐng)域的技術(shù)話題，與大家面對面交流學習，近距離傾聽社區(qū)的聲音，歡迎廣大開發(fā)者持續(xù)關(guān)注和參與。

原文標題：開放原子開發(fā)者工作坊｜大咖論開源項目的安全之道

文章出處：【微信公眾號：開放原子】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請聯(lián)系本站處理。舉報投訴