“開(kāi)放原子開(kāi)發(fā)者工作坊”是由開(kāi)放原子開(kāi)源基金會(huì)發(fā)起的面向廣大開(kāi)發(fā)者的線下開(kāi)源交流活動(dòng),旨在分享開(kāi)發(fā)者參與社區(qū)建設(shè)的心得和體會(huì)、分享開(kāi)發(fā)經(jīng)驗(yàn)。與志同道合的開(kāi)發(fā)者們相互交流開(kāi)發(fā)經(jīng)驗(yàn)、分享開(kāi)發(fā)心得、獲取前沿技術(shù)趨勢(shì)。
隨著科技的飛速發(fā)展和數(shù)字化進(jìn)程的加速,開(kāi)源軟件已經(jīng)成為了軟件開(kāi)發(fā)的重要趨勢(shì)。而開(kāi)源安全問(wèn)題也日益突出,如何夯實(shí)開(kāi)源安全基石,構(gòu)筑安全的開(kāi)源“護(hù)城河”,已成為企業(yè)實(shí)現(xiàn)高質(zhì)量發(fā)展的重要課題。
9月15日,由開(kāi)放原子開(kāi)源基金會(huì)主辦的“開(kāi)放原子開(kāi)發(fā)者工作坊”第三期活動(dòng)成功舉辦。活動(dòng)以“源安全——論開(kāi)源項(xiàng)目的安全之道”為主題,邀請(qǐng)深信服千里目安全技術(shù)中心CTO王振興,Linux基金會(huì)亞太區(qū)總監(jiān)楊軒,中興通訊OSPO主要成員李響,OpenSSF董事、華為開(kāi)源發(fā)展總監(jiān)&開(kāi)源安全Leader崔錦國(guó)四位大咖齊聚一堂,展開(kāi)一場(chǎng)精彩紛呈的思想碰撞。白鯨開(kāi)源高級(jí)社區(qū)經(jīng)理曾輝主持活動(dòng)。
識(shí)漏洞、甄風(fēng)險(xiǎn)
開(kāi)源安全日常之道
主持人:開(kāi)發(fā)團(tuán)隊(duì)日常如何有效管理開(kāi)源依賴(lài)和及時(shí)更新,降低組件漏洞的安全風(fēng)險(xiǎn)?需要哪些工具或計(jì)劃來(lái)改進(jìn)現(xiàn)狀?
Linux基金會(huì)亞太區(qū)總監(jiān)
楊軒
楊軒:使用開(kāi)源軟件需要綜合多方面的考慮。一是人員能力,開(kāi)發(fā)者需要對(duì)開(kāi)源體系有完備的認(rèn)知,并了解每一種開(kāi)源軟件許可證的特點(diǎn),以避免不必要的麻煩;二是開(kāi)發(fā)者需要為自己的項(xiàng)目建立軟件使用清單,了解如何控制版本,是否有漏洞、補(bǔ)丁等問(wèn)題;三是針對(duì)企業(yè)、團(tuán)隊(duì)建立開(kāi)源安全框架也非常重要。目前市面上有很多工具能夠自動(dòng)化掃描并生成使用清單,從而提高工作效率。同時(shí),團(tuán)隊(duì)參與人員需要充分了解其所使用軟件的開(kāi)源社區(qū)屬性,以便出現(xiàn)問(wèn)題時(shí)能夠迅速響應(yīng)。
深信服千里目安全技術(shù)中心CTO
王振興
王振興:改善計(jì)劃涵蓋了“管理”和“技術(shù)”兩個(gè)層面,以技術(shù)角度為例,一是物料清單方面,借助于良好的工具可以直接對(duì)開(kāi)源軟件所依賴(lài)管理的數(shù)據(jù)進(jìn)行梳理;二是風(fēng)險(xiǎn)識(shí)別方面,國(guó)內(nèi)的CNVD和NVDB,以及國(guó)外的CVE漏洞,都能夠保證漏洞的全面覆蓋,并能及時(shí)進(jìn)行更新;三是面對(duì)漏洞可能被利用的風(fēng)險(xiǎn),可以進(jìn)行污點(diǎn)追蹤,并梳理代碼中的函數(shù)調(diào)用關(guān)系;四是在修復(fù)方面,可以考慮集成安全的SDK,以及利用RASP技術(shù)進(jìn)行代碼育苗。在OpenSSF基金會(huì)有多個(gè)專(zhuān)注于不同領(lǐng)域的工作組,通過(guò)適用不同場(chǎng)景的技術(shù)解決實(shí)際問(wèn)題。
OpenSSF董事、華為開(kāi)源發(fā)展總監(jiān)&開(kāi)源安全Leader
崔錦國(guó)
崔錦國(guó):在管理方面,首先,許多開(kāi)源社區(qū)都設(shè)有專(zhuān)門(mén)的安全工作組,而商業(yè)公司則更需要建立與軟件開(kāi)源和安全相關(guān)的模塊、組織和技術(shù)工具,以承擔(dān)更多的法律責(zé)任、客戶(hù)交付和合同責(zé)任,因此建立一套與開(kāi)源安全相關(guān)的管理實(shí)踐至關(guān)重要。其次,在安全規(guī)范的基礎(chǔ)上,還需對(duì)開(kāi)源軟件供應(yīng)鏈建立相應(yīng)的管理機(jī)制,包括開(kāi)源軟件生命周期的管理,使其能夠在管理框架下開(kāi)發(fā)更多高質(zhì)量的軟件。最后,需要相關(guān)執(zhí)行團(tuán)隊(duì)和相應(yīng)的工具提供支撐,只有具備了工具、人員和管理規(guī)范,并在不斷地規(guī)范約束下,開(kāi)發(fā)人員才能形成肌肉記憶,保證社區(qū)開(kāi)發(fā)出安全、高質(zhì)量的軟件。
中興通訊OSPO主要成員
李響
李響:首先,引用開(kāi)源軟件確實(shí)存在一定的風(fēng)險(xiǎn),一般情況下,企業(yè)需要制定相關(guān)規(guī)章制度來(lái)治理開(kāi)源軟件的使用,確保將產(chǎn)品中引入開(kāi)源軟件造成的風(fēng)險(xiǎn)降到最低。其次,針對(duì)依賴(lài)和更新問(wèn)題,我們傾向于保持產(chǎn)品的穩(wěn)定性,并且盡可能將版本保持在相對(duì)合理的區(qū)間,通常這個(gè)周期是4年之內(nèi)。最后,為確保產(chǎn)品的安全性,需要在產(chǎn)品發(fā)布前進(jìn)行SCA掃描,形成SBOM,治理所有高危漏洞和可能對(duì)產(chǎn)品產(chǎn)生影響的低危漏洞。
白鯨開(kāi)源高級(jí)社區(qū)經(jīng)理
曾輝
錨定位、快修復(fù)
安全漏洞無(wú)機(jī)可乘
主持人:當(dāng)遇到高危漏洞,如何快速定位和修復(fù)?業(yè)界可以建立哪些信息共享和漏洞預(yù)警平臺(tái)?
王振興:對(duì)于高危漏洞的挖掘,可以采用工具與人工相結(jié)合的方式。在產(chǎn)品上線后,可以采用漏洞獵捕的方式對(duì)高危漏洞進(jìn)行管理,使用多種工具進(jìn)行流量監(jiān)測(cè),并通過(guò)語(yǔ)義語(yǔ)法的人工智能引擎來(lái)識(shí)別已知和未知風(fēng)險(xiǎn)點(diǎn)。同時(shí),結(jié)合攻擊包和響應(yīng)包,對(duì)已經(jīng)成功執(zhí)行的漏洞進(jìn)行判別,進(jìn)而發(fā)現(xiàn)真正的漏洞。
目前已有工業(yè)和信息化部的NVDB漏洞庫(kù)、國(guó)測(cè)的CNNVD和CNCERT的CNVD。然而,市面上還沒(méi)有專(zhuān)門(mén)針對(duì)開(kāi)源漏洞的平臺(tái),開(kāi)放原子開(kāi)源基金會(huì)正在籌備針對(duì)開(kāi)源漏洞的項(xiàng)目,這將是一個(gè)包含開(kāi)源軟件漏洞的平臺(tái),期待這個(gè)平臺(tái)的推出能填補(bǔ)當(dāng)前行業(yè)空白。
崔錦國(guó):漏洞并不可怕,需要我們對(duì)其引起足夠的重視。一方面我們要加強(qiáng)在社區(qū)推行安全編碼規(guī)范,減少因編碼不規(guī)范而造成的漏洞;另一方面希望大家發(fā)現(xiàn)漏洞的時(shí)候能盡可能上報(bào)。社區(qū)通常會(huì)建立漏洞上報(bào)機(jī)制和規(guī)范,同時(shí)在法律上也有相關(guān)的法規(guī)要求和指導(dǎo),以合法合規(guī)的方式給出解決方案。針對(duì)漏洞的收錄,國(guó)內(nèi)外已建立了相應(yīng)的漏洞平臺(tái),同時(shí)開(kāi)放原子開(kāi)源基金會(huì)安全委員會(huì)也正在建設(shè)開(kāi)源漏洞信息共享平臺(tái),屆時(shí)歡迎大家體驗(yàn)使用。
李響:關(guān)于漏洞方面的問(wèn)題,SCA軟件只能發(fā)現(xiàn)已知漏洞,而未知漏洞需要通過(guò)其他安全工具來(lái)發(fā)現(xiàn),并且需要具備在48小時(shí)內(nèi)快速解決問(wèn)題的能力。對(duì)于項(xiàng)目而言,應(yīng)識(shí)別出重要的開(kāi)源軟件,并具備一定的代碼維護(hù)能力,以便在緊急情況下能夠及時(shí)修復(fù)漏洞并向社區(qū)提交patch。
建社區(qū)、守安全
開(kāi)發(fā)者齊心協(xié)力
主持人:如何在開(kāi)源社區(qū)建立安全維護(hù)的長(zhǎng)效機(jī)制,避免老舊組件的遺留漏洞長(zhǎng)期未修復(fù)?代碼審計(jì)和漏洞賞金計(jì)劃等方式是否可行?
楊軒:如果我們把整個(gè)中國(guó)看成一個(gè)大的社區(qū),Linux基金會(huì)和開(kāi)放原子開(kāi)源基金會(huì)可以攜手借鑒消費(fèi)者委員會(huì)的模式,讓開(kāi)源軟件的開(kāi)發(fā)者也能擁有發(fā)現(xiàn)漏洞并報(bào)告的機(jī)制。另外,我認(rèn)為中國(guó)參與開(kāi)源安全領(lǐng)域的開(kāi)發(fā)者數(shù)量還遠(yuǎn)遠(yuǎn)不夠,大多數(shù)開(kāi)發(fā)者都是被動(dòng)等待別人發(fā)現(xiàn)bug并解決問(wèn)題,缺乏主動(dòng)參與安全研究和軟件修復(fù)的意識(shí)和能力。為了改善這一狀況,我呼吁所有開(kāi)發(fā)者都能夠積極參與開(kāi)源安全的建設(shè),Linux基金會(huì)提供了一些幫助大家提高開(kāi)源安全方面的免費(fèi)課程,歡迎大家踴躍參加。
崔錦國(guó):參與開(kāi)源活動(dòng)是拓展渠道的好方式,大家可以互相交流實(shí)踐經(jīng)驗(yàn),共同提高社區(qū)和軟件的安全管理水平。從實(shí)踐角度來(lái)看,我們?cè)谝腴_(kāi)源軟件時(shí)應(yīng)遵循系統(tǒng)性規(guī)則,從開(kāi)源軟件的官方社區(qū)下載或引用,避免引入被投毒或被污染的軟件。在建立了開(kāi)源軟件合規(guī)管理規(guī)范的企業(yè),開(kāi)發(fā)人員對(duì)開(kāi)源軟件的使用一般需要申請(qǐng)并經(jīng)過(guò)評(píng)估后才能使用。此外,還需要對(duì)引入的開(kāi)源軟件進(jìn)行生命周期管理,定期對(duì)其進(jìn)行評(píng)估和治理。與此同時(shí),對(duì)于老舊缺乏維護(hù)的開(kāi)源軟件應(yīng)考慮退出機(jī)制,做到及時(shí)更新,從而保證產(chǎn)品的穩(wěn)定性和安全性。最后,我們不應(yīng)把安全當(dāng)作成本,而應(yīng)該將安全視為質(zhì)量的組成部分,這樣才能帶來(lái)更好的用戶(hù)體驗(yàn)和商業(yè)機(jī)會(huì)。
李響:開(kāi)源社區(qū)的機(jī)制十分重要,希望企業(yè)和開(kāi)源基金會(huì)等組織能夠制定引入開(kāi)源軟件的規(guī)范和更新要求,并將其反饋到開(kāi)源社區(qū)中。在開(kāi)源社區(qū)中,很難約束開(kāi)發(fā)者形成共識(shí),因此需要鼓勵(lì)開(kāi)發(fā)人員積極參與社區(qū)并為社區(qū)做出貢獻(xiàn),修復(fù)安全領(lǐng)域漏洞,并與社區(qū)共享,幫助其他開(kāi)發(fā)者避免類(lèi)似問(wèn)題,提升社區(qū)整體安全水平,促進(jìn)社區(qū)進(jìn)步與發(fā)展。
王振興:長(zhǎng)期未修復(fù)的漏洞問(wèn)題需要重視,我們可以參考等級(jí)保護(hù)制度,將安全劃分為不同等級(jí),同時(shí)對(duì)關(guān)鍵行業(yè)和基礎(chǔ)設(shè)施中使用的開(kāi)源組件進(jìn)行識(shí)別和優(yōu)先處理。除上述提到的掃描方法外,還可以考慮針對(duì)關(guān)鍵項(xiàng)目和軟件采取眾測(cè)模式,號(hào)召社會(huì)上攻防能力較強(qiáng)的人員參與測(cè)試關(guān)鍵軟件,發(fā)現(xiàn)其中的關(guān)鍵漏洞。
目前,單純以賞金的模式激勵(lì)開(kāi)發(fā)者收效甚微,并且感興趣的開(kāi)發(fā)者也比較少。因此,一方面可以考慮是否給予精神獎(jiǎng)勵(lì),另一方面聯(lián)合安全廠商和社區(qū),通過(guò)頒發(fā)證書(shū)等方式將更多安全力量引入開(kāi)源社區(qū)。
育人才、保技能
共建和諧、安全的開(kāi)源生態(tài)
主持人:面對(duì)不斷升級(jí)的開(kāi)源安全挑戰(zhàn),專(zhuān)業(yè)人才必不可少,對(duì)企業(yè)開(kāi)源安全人才的培養(yǎng),各位老師有何建議?
楊軒:開(kāi)源軟件安全方面存在博弈過(guò)程,我們需要平衡開(kāi)發(fā)任務(wù)和安全需求之間的關(guān)系。一方面,許多開(kāi)源團(tuán)隊(duì)的負(fù)責(zé)人面臨著完成任務(wù)的壓力,往往主要關(guān)注軟件的開(kāi)發(fā)進(jìn)度,而安全問(wèn)題則被視為次要任務(wù)。另一方面,企業(yè)需要建立完善的制度和開(kāi)源安全團(tuán)隊(duì),以確保開(kāi)發(fā)團(tuán)隊(duì)能夠滿(mǎn)足安全需求。同時(shí),開(kāi)發(fā)人員還需要充分了解安全實(shí)踐,養(yǎng)成良好的習(xí)慣,形成肌肉記憶,從而可以大幅降低日后出現(xiàn)安全隱患的風(fēng)險(xiǎn),更好地促進(jìn)開(kāi)源軟件的安全發(fā)展。
王振興:開(kāi)源安全人才的培養(yǎng)是我們必須要面對(duì)的問(wèn)題。企業(yè)可以自行培養(yǎng)具備綜合技能和素質(zhì)的復(fù)合型人才,相關(guān)人才需要具備如下關(guān)鍵素質(zhì)和能力:一是需要了解和掌握一定的漏洞知識(shí);二是需要具備一定的法律知識(shí),了解合規(guī)性等方面的要求;三是需要了解市場(chǎng),以便在采購(gòu)第三方軟硬件時(shí)能夠把控安全風(fēng)險(xiǎn)。我認(rèn)為,人才最好的培養(yǎng)方式便是在不同的崗位上進(jìn)行歷練,通過(guò)輪崗的方式,開(kāi)發(fā)者可以接觸到更多的業(yè)務(wù)和實(shí)踐機(jī)會(huì),從而更好地提升綜合技能和素質(zhì)。
崔錦國(guó):人才培養(yǎng)沒(méi)有固定的標(biāo)準(zhǔn),對(duì)于開(kāi)源社區(qū)來(lái)說(shuō),點(diǎn)燃開(kāi)發(fā)者興趣并引導(dǎo)開(kāi)發(fā)者投入其中是發(fā)展開(kāi)源社區(qū)的重要一環(huán)。當(dāng)開(kāi)發(fā)者對(duì)某個(gè)社區(qū)或領(lǐng)域感興趣時(shí),便愿意主動(dòng)投入時(shí)間和精力去學(xué)習(xí)和探索。在開(kāi)源社區(qū)中,可以通過(guò)參與技術(shù)交流會(huì)議、撰寫(xiě)文章等方式分享自己的經(jīng)驗(yàn)教訓(xùn),不僅可以提升自己的能力和水平,還可以為開(kāi)源社區(qū)的發(fā)展做出貢獻(xiàn)。同時(shí),這也是一個(gè)結(jié)交朋友、拓展人際關(guān)系的好機(jī)會(huì)。
李響:從企業(yè)內(nèi)部使用開(kāi)源的角度來(lái)看,我們需要關(guān)注安全培訓(xùn)、中層安全人才以及開(kāi)源治理等方面。首先,針對(duì)安全培訓(xùn)制定規(guī)章制度和流程,以確保開(kāi)發(fā)人員能夠按照相關(guān)規(guī)定滿(mǎn)足安全要求;其次,每個(gè)項(xiàng)目都應(yīng)該有負(fù)責(zé)安全方面的總監(jiān),在各個(gè)項(xiàng)目?jī)?nèi)依據(jù)公司整體的安全規(guī)章制度領(lǐng)導(dǎo)安全治理工作;最后,開(kāi)源治理作為產(chǎn)品安全工作的組成部分,每個(gè)項(xiàng)目都需要專(zhuān)職副總監(jiān)負(fù)責(zé)整個(gè)項(xiàng)目的開(kāi)源治理活動(dòng),確保相關(guān)規(guī)章制度得到落實(shí)。
楊軒:Linux基金會(huì)提供的云原生安全認(rèn)證是含金量很高的證書(shū)。通過(guò)管理員認(rèn)證是獲得安全認(rèn)證的先決條件,并且獲得安全認(rèn)證的收入通常比其他認(rèn)證高。隨著歐美國(guó)家不斷出臺(tái)軟件安全法規(guī),對(duì)安全人才的需求也越來(lái)越大,雖然國(guó)內(nèi)大廠壟斷了大部分的安全人才,但此類(lèi)證書(shū)還是給希望加入安全領(lǐng)域的開(kāi)發(fā)者提供了機(jī)會(huì)。
活動(dòng)現(xiàn)場(chǎng),參會(huì)者們積極發(fā)言,和四位嘉賓就各自領(lǐng)域中的安全問(wèn)題進(jìn)行了討論,專(zhuān)家們逐一作出回答,現(xiàn)場(chǎng)討論的氣氛一度非常熱烈。
后續(xù)“開(kāi)放原子開(kāi)發(fā)者工作坊”系列線下交流會(huì)將定期舉辦,每期將開(kāi)展不同領(lǐng)域的技術(shù)話題,與大家面對(duì)面交流學(xué)習(xí),近距離傾聽(tīng)社區(qū)的聲音,歡迎廣大開(kāi)發(fā)者持續(xù)關(guān)注和參與。
審核編輯 黃宇
-
開(kāi)源
+關(guān)注
關(guān)注
3文章
3252瀏覽量
42407 -
開(kāi)發(fā)者
+關(guān)注
關(guān)注
1文章
553瀏覽量
16990
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論