精品国产人成在线_亚洲高清无码在线观看_国产在线视频国产永久2021_国产AV综合第一页一个的一区免费影院黑人_最近中文字幕MV高清在线视频

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

開放原子開發(fā)者工作坊|大咖論開源項目的安全之道

開放原子 ? 來源:未知 ? 2023-09-19 18:50 ? 次閱讀

“開放原子開發(fā)者工作坊”是由開放原子開源基金會發(fā)起的面向廣大開發(fā)者的線下開源交流活動,旨在分享開發(fā)者參與社區(qū)建設(shè)的心得和體會、分享開發(fā)經(jīng)驗。與志同道合的開發(fā)者們相互交流開發(fā)經(jīng)驗、分享開發(fā)心得、獲取前沿技術(shù)趨勢。


隨著科技的飛速發(fā)展和數(shù)字化進程的加速,開源軟件已經(jīng)成為了軟件開發(fā)的重要趨勢。而開源安全問題也日益突出,如何夯實開源安全基石,構(gòu)筑安全的開源“護城河”,已成為企業(yè)實現(xiàn)高質(zhì)量發(fā)展的重要課題。

9月15日,由開放原子開源基金會主辦的“開放原子開發(fā)者工作坊”第三期活動成功舉辦。活動以“源安全——論開源項目的安全之道”為主題,邀請深信服千里目安全技術(shù)中心CTO王振興,Linux基金會亞太區(qū)總監(jiān)楊軒,中興通訊OSPO主要成員李響,OpenSSF董事、華為開源發(fā)展總監(jiān)&開源安全Leader崔錦國四位大咖齊聚一堂,展開一場精彩紛呈的思想碰撞。白鯨開源高級社區(qū)經(jīng)理曾輝主持活動。




識漏洞、甄風(fēng)險

開源安全日常之道

主持人:開發(fā)團隊日常如何有效管理開源依賴和及時更新,降低組件漏洞的安全風(fēng)險?需要哪些工具或計劃來改進現(xiàn)狀?

Linux基金會亞太區(qū)總監(jiān)
楊軒

楊軒:使用開源軟件需要綜合多方面的考慮。一是人員能力,開發(fā)者需要對開源體系有完備的認(rèn)知,并了解每一種開源軟件許可證的特點,以避免不必要的麻煩;二是開發(fā)者需要為自己的項目建立軟件使用清單,了解如何控制版本,是否有漏洞、補丁等問題;三是針對企業(yè)、團隊建立開源安全框架也非常重要。目前市面上有很多工具能夠自動化掃描并生成使用清單,從而提高工作效率。同時,團隊參與人員需要充分了解其所使用軟件的開源社區(qū)屬性,以便出現(xiàn)問題時能夠迅速響應(yīng)。

深信服千里目安全技術(shù)中心CTO
王振興

王振興:改善計劃涵蓋了“管理”和“技術(shù)”兩個層面,以技術(shù)角度為例,一是物料清單方面,借助于良好的工具可以直接對開源軟件所依賴管理的數(shù)據(jù)進行梳理;二是風(fēng)險識別方面,國內(nèi)的CNVD和NVDB,以及國外的CVE漏洞,都能夠保證漏洞的全面覆蓋,并能及時進行更新;三是面對漏洞可能被利用的風(fēng)險,可以進行污點追蹤,并梳理代碼中的函數(shù)調(diào)用關(guān)系;四是在修復(fù)方面,可以考慮集成安全的SDK,以及利用RASP技術(shù)進行代碼育苗。在OpenSSF基金會有多個專注于不同領(lǐng)域的工作組,通過適用不同場景的技術(shù)解決實際問題。

OpenSSF董事、華為開源發(fā)展總監(jiān)&開源安全Leader
崔錦國

崔錦國:在管理方面,首先,許多開源社區(qū)都設(shè)有專門的安全工作組,而商業(yè)公司則更需要建立與軟件開源和安全相關(guān)的模塊、組織和技術(shù)工具,以承擔(dān)更多的法律責(zé)任、客戶交付和合同責(zé)任,因此建立一套與開源安全相關(guān)的管理實踐至關(guān)重要。其次,在安全規(guī)范的基礎(chǔ)上,還需對開源軟件供應(yīng)鏈建立相應(yīng)的管理機制,包括開源軟件生命周期的管理,使其能夠在管理框架下開發(fā)更多高質(zhì)量的軟件。最后,需要相關(guān)執(zhí)行團隊和相應(yīng)的工具提供支撐,只有具備了工具、人員和管理規(guī)范,并在不斷地規(guī)范約束下,開發(fā)人員才能形成肌肉記憶,保證社區(qū)開發(fā)出安全、高質(zhì)量的軟件。

中興通訊OSPO主要成員
李響

李響:首先,引用開源軟件確實存在一定的風(fēng)險,一般情況下,企業(yè)需要制定相關(guān)規(guī)章制度來治理開源軟件的使用,確保將產(chǎn)品中引入開源軟件造成的風(fēng)險降到最低。其次,針對依賴和更新問題,我們傾向于保持產(chǎn)品的穩(wěn)定性,并且盡可能將版本保持在相對合理的區(qū)間,通常這個周期是4年之內(nèi)。最后,為確保產(chǎn)品的安全性,需要在產(chǎn)品發(fā)布前進行SCA掃描,形成SBOM,治理所有高危漏洞和可能對產(chǎn)品產(chǎn)生影響的低危漏洞。

白鯨開源高級社區(qū)經(jīng)理
曾輝



錨定位、快修復(fù)

安全漏洞無機可乘

主持人:當(dāng)遇到高危漏洞,如何快速定位和修復(fù)?業(yè)界可以建立哪些信息共享和漏洞預(yù)警平臺?

王振興:對于高危漏洞的挖掘,可以采用工具與人工相結(jié)合的方式。在產(chǎn)品上線后,可以采用漏洞獵捕的方式對高危漏洞進行管理,使用多種工具進行流量監(jiān)測,并通過語義語法的人工智能引擎來識別已知和未知風(fēng)險點。同時,結(jié)合攻擊包和響應(yīng)包,對已經(jīng)成功執(zhí)行的漏洞進行判別,進而發(fā)現(xiàn)真正的漏洞。

目前已有工業(yè)和信息化部的NVDB漏洞庫、國測的CNNVD和CNCERT的CNVD。然而,市面上還沒有專門針對開源漏洞的平臺,開放原子開源基金會正在籌備針對開源漏洞的項目,這將是一個包含開源軟件漏洞的平臺,期待這個平臺的推出能填補當(dāng)前行業(yè)空白。

崔錦國:漏洞并不可怕,需要我們對其引起足夠的重視。一方面我們要加強在社區(qū)推行安全編碼規(guī)范,減少因編碼不規(guī)范而造成的漏洞;另一方面希望大家發(fā)現(xiàn)漏洞的時候能盡可能上報。社區(qū)通常會建立漏洞上報機制和規(guī)范,同時在法律上也有相關(guān)的法規(guī)要求和指導(dǎo),以合法合規(guī)的方式給出解決方案。針對漏洞的收錄,國內(nèi)外已建立了相應(yīng)的漏洞平臺,同時開放原子開源基金會安全委員會也正在建設(shè)開源漏洞信息共享平臺,屆時歡迎大家體驗使用。

李響:關(guān)于漏洞方面的問題,SCA軟件只能發(fā)現(xiàn)已知漏洞,而未知漏洞需要通過其他安全工具來發(fā)現(xiàn),并且需要具備在48小時內(nèi)快速解決問題的能力。對于項目而言,應(yīng)識別出重要的開源軟件,并具備一定的代碼維護能力,以便在緊急情況下能夠及時修復(fù)漏洞并向社區(qū)提交patch。




建社區(qū)、守安全

開發(fā)者齊心協(xié)力

主持人:如何在開源社區(qū)建立安全維護的長效機制,避免老舊組件的遺留漏洞長期未修復(fù)?代碼審計和漏洞賞金計劃等方式是否可行?

楊軒:如果我們把整個中國看成一個大的社區(qū),Linux基金會和開放原子開源基金會可以攜手借鑒消費者委員會的模式,讓開源軟件的開發(fā)者也能擁有發(fā)現(xiàn)漏洞并報告的機制。另外,我認(rèn)為中國參與開源安全領(lǐng)域的開發(fā)者數(shù)量還遠遠不夠,大多數(shù)開發(fā)者都是被動等待別人發(fā)現(xiàn)bug并解決問題,缺乏主動參與安全研究和軟件修復(fù)的意識和能力。為了改善這一狀況,我呼吁所有開發(fā)者都能夠積極參與開源安全的建設(shè),Linux基金會提供了一些幫助大家提高開源安全方面的免費課程,歡迎大家踴躍參加。

崔錦國:參與開源活動是拓展渠道的好方式,大家可以互相交流實踐經(jīng)驗,共同提高社區(qū)和軟件的安全管理水平。從實踐角度來看,我們在引入開源軟件時應(yīng)遵循系統(tǒng)性規(guī)則,從開源軟件的官方社區(qū)下載或引用,避免引入被投毒或被污染的軟件。在建立了開源軟件合規(guī)管理規(guī)范的企業(yè),開發(fā)人員對開源軟件的使用一般需要申請并經(jīng)過評估后才能使用。此外,還需要對引入的開源軟件進行生命周期管理,定期對其進行評估和治理。與此同時,對于老舊缺乏維護的開源軟件應(yīng)考慮退出機制,做到及時更新,從而保證產(chǎn)品的穩(wěn)定性和安全性。最后,我們不應(yīng)把安全當(dāng)作成本,而應(yīng)該將安全視為質(zhì)量的組成部分,這樣才能帶來更好的用戶體驗和商業(yè)機會。

李響:開源社區(qū)的機制十分重要,希望企業(yè)和開源基金會等組織能夠制定引入開源軟件的規(guī)范和更新要求,并將其反饋到開源社區(qū)中。在開源社區(qū)中,很難約束開發(fā)者形成共識,因此需要鼓勵開發(fā)人員積極參與社區(qū)并為社區(qū)做出貢獻,修復(fù)安全領(lǐng)域漏洞,并與社區(qū)共享,幫助其他開發(fā)者避免類似問題,提升社區(qū)整體安全水平,促進社區(qū)進步與發(fā)展。

王振興:長期未修復(fù)的漏洞問題需要重視,我們可以參考等級保護制度,將安全劃分為不同等級,同時對關(guān)鍵行業(yè)和基礎(chǔ)設(shè)施中使用的開源組件進行識別和優(yōu)先處理。除上述提到的掃描方法外,還可以考慮針對關(guān)鍵項目和軟件采取眾測模式,號召社會上攻防能力較強的人員參與測試關(guān)鍵軟件,發(fā)現(xiàn)其中的關(guān)鍵漏洞。

目前,單純以賞金的模式激勵開發(fā)者收效甚微,并且感興趣的開發(fā)者也比較少。因此,一方面可以考慮是否給予精神獎勵,另一方面聯(lián)合安全廠商和社區(qū),通過頒發(fā)證書等方式將更多安全力量引入開源社區(qū)。




育人才、保技能

共建和諧、安全的開源生態(tài)

主持人:面對不斷升級的開源安全挑戰(zhàn),專業(yè)人才必不可少,對企業(yè)開源安全人才的培養(yǎng),各位老師有何建議?

楊軒:開源軟件安全方面存在博弈過程,我們需要平衡開發(fā)任務(wù)和安全需求之間的關(guān)系。一方面,許多開源團隊的負責(zé)人面臨著完成任務(wù)的壓力,往往主要關(guān)注軟件的開發(fā)進度,而安全問題則被視為次要任務(wù)。另一方面,企業(yè)需要建立完善的制度和開源安全團隊,以確保開發(fā)團隊能夠滿足安全需求。同時,開發(fā)人員還需要充分了解安全實踐,養(yǎng)成良好的習(xí)慣,形成肌肉記憶,從而可以大幅降低日后出現(xiàn)安全隱患的風(fēng)險,更好地促進開源軟件的安全發(fā)展。

王振興:開源安全人才的培養(yǎng)是我們必須要面對的問題。企業(yè)可以自行培養(yǎng)具備綜合技能和素質(zhì)的復(fù)合型人才,相關(guān)人才需要具備如下關(guān)鍵素質(zhì)和能力:一是需要了解和掌握一定的漏洞知識;二是需要具備一定的法律知識,了解合規(guī)性等方面的要求;三是需要了解市場,以便在采購第三方軟硬件時能夠把控安全風(fēng)險。我認(rèn)為,人才最好的培養(yǎng)方式便是在不同的崗位上進行歷練,通過輪崗的方式,開發(fā)者可以接觸到更多的業(yè)務(wù)和實踐機會,從而更好地提升綜合技能和素質(zhì)。

崔錦國:人才培養(yǎng)沒有固定的標(biāo)準(zhǔn),對于開源社區(qū)來說,點燃開發(fā)者興趣并引導(dǎo)開發(fā)者投入其中是發(fā)展開源社區(qū)的重要一環(huán)。當(dāng)開發(fā)者對某個社區(qū)或領(lǐng)域感興趣時,便愿意主動投入時間和精力去學(xué)習(xí)和探索。在開源社區(qū)中,可以通過參與技術(shù)交流會議、撰寫文章等方式分享自己的經(jīng)驗教訓(xùn),不僅可以提升自己的能力和水平,還可以為開源社區(qū)的發(fā)展做出貢獻。同時,這也是一個結(jié)交朋友、拓展人際關(guān)系的好機會。

李響:從企業(yè)內(nèi)部使用開源的角度來看,我們需要關(guān)注安全培訓(xùn)、中層安全人才以及開源治理等方面。首先,針對安全培訓(xùn)制定規(guī)章制度和流程,以確保開發(fā)人員能夠按照相關(guān)規(guī)定滿足安全要求;其次,每個項目都應(yīng)該有負責(zé)安全方面的總監(jiān),在各個項目內(nèi)依據(jù)公司整體的安全規(guī)章制度領(lǐng)導(dǎo)安全治理工作;最后,開源治理作為產(chǎn)品安全工作的組成部分,每個項目都需要專職副總監(jiān)負責(zé)整個項目的開源治理活動,確保相關(guān)規(guī)章制度得到落實。

楊軒:Linux基金會提供的云原生安全認(rèn)證是含金量很高的證書。通過管理員認(rèn)證是獲得安全認(rèn)證的先決條件,并且獲得安全認(rèn)證的收入通常比其他認(rèn)證高。隨著歐美國家不斷出臺軟件安全法規(guī),對安全人才的需求也越來越大,雖然國內(nèi)大廠壟斷了大部分的安全人才,但此類證書還是給希望加入安全領(lǐng)域的開發(fā)者提供了機會。


活動現(xiàn)場,參會者們積極發(fā)言,和四位嘉賓就各自領(lǐng)域中的安全問題進行了討論,專家們逐一作出回答,現(xiàn)場討論的氣氛一度非常熱烈。

后續(xù)“開放原子開發(fā)者工作坊”系列線下交流會將定期舉辦,每期將開展不同領(lǐng)域的技術(shù)話題,與大家面對面交流學(xué)習(xí),近距離傾聽社區(qū)的聲音,歡迎廣大開發(fā)者持續(xù)關(guān)注和參與。


原文標(biāo)題:開放原子開發(fā)者工作坊|大咖論開源項目的安全之道

文章出處:【微信公眾號:開放原子】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • OpenHarmony
    +關(guān)注

    關(guān)注

    25

    文章

    3660

    瀏覽量

    16158
  • 開放原子基金會
    +關(guān)注

    關(guān)注

    1

    文章

    482

    瀏覽量

    5154

原文標(biāo)題:開放原子開發(fā)者工作坊|大咖論開源項目的安全之道

文章出處:【微信號:開放原子,微信公眾號:開放原子】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

收藏 人收藏

    評論

    相關(guān)推薦

    開源治理與開發(fā)者運營分論壇圓滿舉辦

    日益受到廣泛關(guān)注。 為深度探討全球開源治理所面對的挑戰(zhàn),12 月 16 日,2023 開放原子開發(fā)者大會【開源治理與
    的頭像 發(fā)表于 12-22 09:59 ?460次閱讀
    <b class='flag-5'>開源</b>治理與<b class='flag-5'>開發(fā)者</b>運營分論壇圓滿舉辦

    云集,2023 開放原子開發(fā)者大會助力開發(fā)者實現(xiàn)夢想

    ? ? 12 月 16 日,以“一切為了開發(fā)者”為主題的開放原子開發(fā)者大會在無錫開幕。大會聚焦大模型、云原生、前端、自動駕駛、物聯(lián)網(wǎng)、開源
    的頭像 發(fā)表于 12-22 09:57 ?836次閱讀
    大<b class='flag-5'>咖</b>云集,2023 <b class='flag-5'>開放</b><b class='flag-5'>原子</b><b class='flag-5'>開發(fā)者</b>大會助力<b class='flag-5'>開發(fā)者</b>實現(xiàn)夢想

    開放原子開源基金會與 9 個開源項目舉行捐贈簽約儀式

    12 月 16 日,在江蘇無錫舉辦的 2023 開放原子開發(fā)者大會開幕式上,開放原子開源基金會理
    的頭像 發(fā)表于 12-21 17:30 ?820次閱讀
    <b class='flag-5'>開放</b><b class='flag-5'>原子</b><b class='flag-5'>開源</b>基金會與 9 個<b class='flag-5'>開源</b><b class='flag-5'>項目</b>舉行捐贈簽約儀式

    前方高能!2023 開放原子開發(fā)者大會亮點攻略,一觸即發(fā)

    OPENATOM DEVELOPERS CONFERENCE 2023 開放原子 開發(fā)者大會 亮點攻略 一觸即發(fā) 12 月 16-17 日|中國 · 無錫 “Code Camp”開發(fā)者
    的頭像 發(fā)表于 12-20 17:43 ?475次閱讀
    前方高能!2023 <b class='flag-5'>開放</b><b class='flag-5'>原子</b><b class='flag-5'>開發(fā)者</b>大會亮點攻略,一觸即發(fā)

    「代碼舞」2023 開放原子開發(fā)者大會——開源大俠秘聞

    ? ? ? 2023 開放原子開發(fā)者大會 OPEN ATOM DEVELOPERS CONFERENCE 開源大俠 隆重登場 ? 2023.12.16-17 ? 各位技術(shù)奇才和編程大
    的頭像 發(fā)表于 12-20 16:48 ?400次閱讀
    「代碼舞<b class='flag-5'>者</b>」2023 <b class='flag-5'>開放</b><b class='flag-5'>原子</b><b class='flag-5'>開發(fā)者</b>大會——<b class='flag-5'>開源</b>大俠秘聞

    潤和軟件亮相2023開放原子開發(fā)者大會,獲多項開源共建殊榮

    12月15-17日,由開放原子開源基金會(以下簡稱“基金會”)主辦的2023開放原子開發(fā)者大會在
    的頭像 發(fā)表于 12-19 15:55 ?329次閱讀

    觸覺智能亮相2023開放原子開發(fā)者大會 創(chuàng)新引領(lǐng)開源新篇章

    開發(fā)者工作坊開放原子開源節(jié)等特色板塊。圍繞相關(guān)的專業(yè)領(lǐng)域話題,大會邀請不同領(lǐng)域行業(yè)代表與從業(yè)者共同參會深入交流,多方視角、多維度探尋
    的頭像 發(fā)表于 12-19 08:32 ?482次閱讀
    觸覺智能亮相2023<b class='flag-5'>開放</b><b class='flag-5'>原子</b><b class='flag-5'>開發(fā)者</b>大會  創(chuàng)新引領(lǐng)<b class='flag-5'>開源</b>新篇章

    云集,2023開放原子開發(fā)者大會助力開發(fā)者實現(xiàn)夢想

    12月16日,以“一切為了開發(fā)者”為主題的開放原子開發(fā)者大會在無錫開幕。大會聚焦大模型、云原生、前端、自動駕駛、物聯(lián)網(wǎng)、開源治理與
    的頭像 發(fā)表于 12-18 16:05 ?510次閱讀

    軟通動力攜子公司鴻湖萬聯(lián)圓滿承辦首屆開放原子開發(fā)者大會OpenHarmony分論壇

    12月16日,由開放原子開源基金會主辦,以“一切為了開發(fā)者”為主題的首屆開放原子
    的頭像 發(fā)表于 12-18 15:50 ?367次閱讀

    鴻智谷亮相2023開放原子開發(fā)者大會

    12月16日-17日,2023開放原子開發(fā)者大會在無錫落下帷幕,作為開放原子開源基金會的年度盛典
    的頭像 發(fā)表于 12-18 08:30 ?516次閱讀
    鴻智谷亮相2023<b class='flag-5'>開放</b><b class='flag-5'>原子</b><b class='flag-5'>開發(fā)者</b>大會

    倒計時3天|開源開發(fā)者的技術(shù)年末盛典即將開啟

    感興趣的熱點內(nèi)容: 六會 開幕式 ?“Code Camp”開發(fā)者工作坊 “Tech Hour”技術(shù)平行專場 操作系統(tǒng)大會openEuler Summit 2023(北京) 2023龍蜥操作系統(tǒng)大會
    的頭像 發(fā)表于 12-14 16:05 ?267次閱讀

    前方高能!2023開放原子開發(fā)者大會亮點攻略,一觸即發(fā)

    OPENATOM DEVELOPERS CONFERENCE 2023開放原子 開發(fā)者大會 亮點攻略 一觸即發(fā) 12月16-17日 中國 · 無錫 “Code Camp”開發(fā)者
    的頭像 發(fā)表于 12-09 18:45 ?690次閱讀
    前方高能!2023<b class='flag-5'>開放</b><b class='flag-5'>原子</b><b class='flag-5'>開發(fā)者</b>大會亮點攻略,一觸即發(fā)

    「代碼舞」2023開放原子開發(fā)者大會——開源大俠秘聞

    2023開放原子開發(fā)者大會 . OPEN ATOM DEVELOPERS CONFERENCE 開源大俠 隆重登場 2023.12.16-17 各位技術(shù)奇才和編程大
    的頭像 發(fā)表于 11-30 20:55 ?512次閱讀
    「代碼舞<b class='flag-5'>者</b>」2023<b class='flag-5'>開放</b><b class='flag-5'>原子</b><b class='flag-5'>開發(fā)者</b>大會——<b class='flag-5'>開源</b>大俠秘聞

    開放原子開發(fā)者工作坊|大論道云原生技術(shù)發(fā)展與應(yīng)用實踐

    開放原子開發(fā)者工作坊”是由開放原子開源基金會 發(fā)起
    的頭像 發(fā)表于 11-29 20:25 ?1134次閱讀

    亮點搶先看|2023開放原子開發(fā)者大會期待您的參與!

    2023年12月16-17日,2023開放原子開發(fā)者大會將在無錫盛大開啟! 作為開放原子開源基金
    的頭像 發(fā)表于 11-29 20:25 ?666次閱讀
    亮點搶先看|2023<b class='flag-5'>開放</b><b class='flag-5'>原子</b><b class='flag-5'>開發(fā)者</b>大會期待您的參與!