开源安全探索与创新实践

时间：2022-03-24 02:03:02 | 来源：行业动态

时间：2022-03-24 02:03:02 来源：行业动态

在本次大会上，悬镜安全创始人兼CEO子芽以《用开源的方式做开源风险治理》为主题，围绕开源、风险治理、OpenSCA等关键词做了精彩分享。子芽表示，应用开源是大势所趋，但是避免不了Web通用漏洞、业务逻辑漏洞、开源成分的缺陷及后门等漏洞问题，而用开源的方式做开源风险治理，可以让开源用多样性拥抱不确定性，形成开源新范式。

此次，悬镜安全对外发布OpenSCA开源技术，是为了解决看不清、摸不透、跟不上、防不住的治理难题。OpenSCA作为悬镜安全旗下商业级SCA产品源鉴OSS开源威胁管控平台的开源版本，它继承了源鉴OSS的多源SCA开源应用安全缺陷检测核心能力。

而且，子芽认为，创新的过程也是价值迭代创造的过程，更有利于拓展人类认知实践的边界。而且希望用开源的方式做开源风险治理，和大家一起，守护中国软件供应链安全！



图1 悬镜安全创始人兼CEO子芽分享

中兴通讯开源合规安全治理总监项曙明以《构建开源可信供应链实践分享》为主题进行了分享，开源标准体系的不断落地，行业应用的不断实践以及客户需求的逐渐成熟与清晰，我们不得不意识到开源安全治理能力成为企业必选，逐渐成为了企业进入市场的准入门槛。企业应根据所处行业特点、企业经营模式和特点，结合外部环境及要求，进行企业开源风险场景分析，制定适合企业长期发展的开源风险治理策略，以更加开放的商业姿态拥抱开源。



图2 中兴通讯开源合规安全治理总监项曙明分享

国浩律所（北京）事务所合伙人胡静以《开源软件出口管制合规探讨》为主题探讨了什么是美国出口管制、美国出口管制与开源软件的关系、出口管制下的开源软件合规思路，解析软件管理中的长辖管理规则，助于我们建立开源软件管理的全球视野与国际化合规认知。



图3 国浩律师事务所合伙人胡静分享

腾讯安全科恩实验室DevSecOps技术专家赵洪阳分享了《以二进制SCA为核心的制品扫描》，他指出，制品扫描是重要的质量关卡，同时也是运营、开发过程重要的安全信息来源，而制品中也面临着License商业风险、开源组件、linux内核漏洞风险、敏感信息泄露、系统安全基线等安全问题，而以二进制SCA为核心，检测安全风险，可以保障检出率。主要从5个方面入手：

1. 二进制文件收集及格式解析
2. 检测技术的选择
3. 开源组件特征库维护
4. Kernel内核漏洞检测
5. 嵌入式系统安全检查

图4 腾讯安全科恩实验室DevSecOps技术专家赵洪阳分享

乐信集团信息安全总监刘志诚以《生态闭环治理开源供应链安全》为主题做了精彩分享，他提出在开源软件的生命周期管理中，应该做好引入前、引入后、事件响应三个阶段的准备工作，做好安全风险的评估与治理，应急演练，风险转移工作，避免技术（漏洞验证、漏洞分析、缓解措施、代码修复）、资源（可持续性评估、应急响应、风险转移）带来的安全难题，共建保险、共享、社区的安全新生态，形成安全闭环。



图5 乐信集团信息安全总监刘志诚分享

中国信息通信研究院云大所云计算部副主任郭雪以《开源风险现状分析与SCA标准解读》对开源、开源组成要素、发展历程、产业发展等方向做了解读，数据显示，全球开源项目数量和我国开源项目数量都呈现了较大的增长，然而也面临着技术与运维、管理风险等可以预见但是无法规避的困难与挑战，针对这一现象国家不断推出了开源相关政策，大力认可开源带来的生态价值和产业价值。最后，郭主任系统解读了信通院依据开源生命周期建立的可信开源标准体系，帮助大家对开源的有序发展及体系化、标准化运营建立了更加清晰的框架性认知。



图6 中国信息通信研究院云大所云计算部副主任郭雪分享