1024分论坛:如何守护开源安全

Posted CSDN资讯

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了1024分论坛:如何守护开源安全相关的知识,希望对你有一定的参考价值。

10 月 23 日-25 日,由湖南省工业和信息化厅、湖南湘江新区管理委员会指导,长沙市工业和信息化局、长沙信息产业园管委会和 CSDN 联合主办的“2022 长沙·中国 1024 程序员节”线上线下同步举办。 

目前开源正在吞噬全球软件,据 Gartner 统计,99% 的组织在 IT 系统中使用了开源软件。软件供应链中 80%-90% 的代码来源于开源,拥有 1000 行以上代码的程序 99% 至少有1个开源依赖项。然而近年来开源软件新增漏洞数量逐渐攀升,开源安全问题不容忽视。

基于此,在2022长沙·中国 1024程序员节大会“开源与安全”专题论坛上, SUSE安全产品战略副总裁黄飞,中科院软件所总工程师、智能软件研究中心主任武延军,中兴通讯开源合规总监李响,麒麟软件有限公司高级副总裁、麒麟软件总工程师魏立峰,阿里云程序语言与编译器团队技术总监李三红齐聚,分享他们在对开源安全的真知灼见。

精彩回顾抢先看:开源与安全-CSDN直播

SUSE安全产品战略副总裁黄飞

SUSE安全产品战略副总裁黄飞发表《企业如何应对云原生时代的开源安全挑战?》的主题演讲,随着云原生时代的到来,从原来保护巨大的物理机到虚拟机,到小小的容器,再到无服务,安全边界越来越小,甚至会逐渐消失。容器环境的快速发展和流行,随之我们迎来新的安全挑战,传统的安全工具不适应新的云环境,Kubernetes和虚拟化技术给安全管控造成困难。云时代下,零信任安全理念尤为重要。

中科院软件所总工程师、智能软件研究中心主任武延军

中科院软件所总工程师、智能软件研究中心主任武延军在《开源软件供应链研究及实践》的演讲中谈到,开源软件供应链是一个实际业务系统,在开发和运行过程中,涉及到的所有开源软件上游项目、源码包、二进制包、包管理器、存储仓库、开发者和维护者、社区 、 基金会、最终用户等,按照依赖、打包、构建、托管、协作、 指导、反馈关系形成的供应链网络。

开源软件供应链有迭代周期短、模块数量多、生产线上化、供应全球化、仓储集中化、边际成本低这六大特点。同时存在漏洞继承、上游投毒、维护中断等问题。在此背景下,中科院软件所启动开源软件供应链平台建设,推出“源图”平台,将托管平台、包管理器、开源社区、 邮件列表等数据进行知识化处理,并融合漏洞知识图谱,提取并分析开源软件信息及其关联依赖关系,构建包含软件、漏洞、组织、开发者等实体类型的大型开源软件知识图谱。

中兴通讯开源合规总监李响

中兴通讯开源合规总监李响在《开源软件“断供”风险分析》演讲中,详细展开讲解 10 种在开源软件“断供”的情况,其对中国 IT 发展带来的风险以及应对方案。最后他呼吁“开放才能发展,开放才能引领世界”。

麒麟软件有限公司高级副总裁,麒麟软件总工程师魏立峰

麒麟软件有限公司高级副总裁,麒麟软件总工程师魏立峰发表《开源操作系统的安全体系建设》的主题演讲。魏立峰表示,当开源安全风险已成为经成为企业全球化挑战,是企业开源首要关注的风险点,开源社区也不例外。针对这些情况,openKylin 开源社区组建了社区安全委员会,并积极开展 openKylin 社区安全体系建设。同时他诚挚邀请广大社区开发者、安全厂商、专业安全团队,参与 openKylin 社区安全体系建设,共同打造开源软件安全供应链。

阿里云程序语言与编译器团队技术总监李三红

阿里云程序语言与编译器团队技术总监李三红在《开源软件安全与应对策略探讨——Java机密计算技术应用实践》中介绍,针对开源软件安全风险,机密计算是一种积极的安全防护实践策略。阿里云团队根据自身实践,打造出基于机密计算的安全编程框架 JavaEnclave。未来,Java Enclave 计划作为 Java TEE SDK 贡献到 Apache Teaclave。

圆桌对话

来到论坛最后一个环节,由 CSDN开源平台负责人谢志锋主持,盛邀中科院软件所总工程师、智能软件研究中心主任武延军,英特尔亚太研发有限公司研发总监、开源基础设施基金会个人独立董事王庆,中兴通讯开源合规总监李响进行圆桌对话,以“《开谈》开源系列:如何守护开源安全?”为主题,四位行业专家结合多年实践经验,展开精彩思辨,为本次论坛画上完美的句号。

以上是关于1024分论坛:如何守护开源安全的主要内容,如果未能解决你的问题,请参考以下文章

盘古开源解析:大数据时代,如何守护数据的信息安全?

1024分论坛:人工智能创新应用的优化实践和多产业落地

信息安全工程师笔记-案例分析

1024 程序员节专题论坛来袭,聚焦企业级开源数据库 openGauss

1024分论坛:数字化转型和工业互联网的痛点共识和远见

开源软件安全与应对策略探讨 - Java 机密计算技术应用实践