1024分论坛：如何守护开源安全

Posted 2022-11-27 CSDN资讯

10 月 23 日-25 日，由湖南省工业和信息化厅、湖南湘江新区管理委员会指导，长沙市工业和信息化局、长沙信息产业园管委会和 CSDN 联合主办的“2022 长沙·中国 1024 程序员节”线上线下同步举办。 

目前开源正在吞噬全球软件，据 Gartner 统计，99% 的组织在 IT 系统中使用了开源软件。软件供应链中 80%-90% 的代码来源于开源，拥有 1000 行以上代码的程序 99% 至少有1个开源依赖项。然而近年来开源软件新增漏洞数量逐渐攀升，开源安全问题不容忽视。

基于此，在2022长沙·中国 1024程序员节大会“开源与安全”专题论坛上， SUSE安全产品战略副总裁黄飞，中科院软件所总工程师、智能软件研究中心主任武延军，中兴通讯开源合规总监李响，麒麟软件有限公司高级副总裁、麒麟软件总工程师魏立峰，阿里云程序语言与编译器团队技术总监李三红齐聚，分享他们在对开源安全的真知灼见。

精彩回顾抢先看：开源与安全-CSDN直播

SUSE安全产品战略副总裁黄飞

SUSE安全产品战略副总裁黄飞发表《企业如何应对云原生时代的开源安全挑战？》的主题演讲，随着云原生时代的到来，从原来保护巨大的物理机到虚拟机，到小小的容器，再到无服务，安全边界越来越小，甚至会逐渐消失。容器环境的快速发展和流行，随之我们迎来新的安全挑战，传统的安全工具不适应新的云环境，Kubernetes和虚拟化技术给安全管控造成困难。云时代下，零信任安全理念尤为重要。

中科院软件所总工程师、智能软件研究中心主任武延军

中科院软件所总工程师、智能软件研究中心主任武延军在《开源软件供应链研究及实践》的演讲中谈到，开源软件供应链是一个实际业务系统，在开发和运行过程中，涉及到的所有开源软件上游项目、源码包、二进制包、包管理器、存储仓库、开发者和维护者、社区 、 基金会、最终用户等，按照依赖、打包、构建、托管、协作、 指导、反馈关系形成的供应链网络。

开源软件供应链有迭代周期短、模块数量多、生产线上化、供应全球化、仓储集中化、边际成本低这六大特点。同时存在漏洞继承、上游投毒、维护中断等问题。在此背景下，中科院软件所启动开源软件供应链平台建设，推出“源图”平台，将托管平台、包管理器、开源社区、 邮件列表等数据进行知识化处理，并融合漏洞知识图谱，提取并分析开源软件信息及其关联依赖关系，构建包含软件、漏洞、组织、开发者等实体类型的大型开源软件知识图谱。

中兴通讯开源合规总监李响

中兴通讯开源合规总监李响在《开源软件“断供”风险分析》演讲中，详细展开讲解 10 种在开源软件“断供”的情况，其对中国 IT 发展带来的风险以及应对方案。最后他呼吁“开放才能发展，开放才能引领世界”。

麒麟软件有限公司高级副总裁，麒麟软件总工程师魏立峰

麒麟软件有限公司高级副总裁，麒麟软件总工程师魏立峰发表《开源操作系统的安全体系建设》的主题演讲。魏立峰表示，当开源安全风险已成为经成为企业全球化挑战，是企业开源首要关注的风险点，开源社区也不例外。针对这些情况，openKylin 开源社区组建了社区安全委员会，并积极开展 openKylin 社区安全体系建设。同时他诚挚邀请广大社区开发者、安全厂商、专业安全团队，参与 openKylin 社区安全体系建设，共同打造开源软件安全供应链。

阿里云程序语言与编译器团队技术总监李三红

阿里云程序语言与编译器团队技术总监李三红在《开源软件安全与应对策略探讨——Java机密计算技术应用实践》中介绍，针对开源软件安全风险，机密计算是一种积极的安全防护实践策略。阿里云团队根据自身实践，打造出基于机密计算的安全编程框架 JavaEnclave。未来，Java Enclave 计划作为 Java TEE SDK 贡献到 Apache Teaclave。

圆桌对话

来到论坛最后一个环节，由 CSDN开源平台负责人谢志锋主持，盛邀中科院软件所总工程师、智能软件研究中心主任武延军，英特尔亚太研发有限公司研发总监、开源基础设施基金会个人独立董事王庆，中兴通讯开源合规总监李响进行圆桌对话，以“《开谈》开源系列：如何守护开源安全？”为主题，四位行业专家结合多年实践经验，展开精彩思辨，为本次论坛画上完美的句号。