精华内容回顾 |OpenSSF开源安全中国峰会--快科技--科技改变未来

　　2022年11月7日(周一)，OpenSSF开源安全基金会 携手中国信息通信研究院和开源科技OSTech，借助IOSF国际开源节，在深圳成功举办了“OpenSSF开源安全中国峰会”。虽然疫情反复无常，行业专家对开源安全的热情不减，十多位大咖线上线下分享了他们在开源软件供应链安全的真知灼见、聚焦开源产业发展现状与趋势，研讨企业如何应对开源软件供应链安全问题、探讨开源面临的新环境，开源软件供应链安全如何在企业落地、共同保障开源供应链安全等，全日峰会有高达40万人次通过线上直播收看

　　开源软件安全基金会(OpenSSF)总经理Brian Behlendorf 在大会发表幕式致辞，探讨《如何保证软件供应链上游安全，解决导致Log4Shell软件供应链中的系统性问题》， 介绍了开源安全基金会如何帮助国际开源软件安全社区、通过教育建设中国社区、赋能中国开发人员成为开源软件安全的贡献者、推动整个开源软件和其他领域的系统性变革。

　　接下来是来自中国信息通信研究院的高级工程师张俊霞分享了《开源面临的新环境》议题。随着“软件定义世界”这一进程的快速推进，开源软件也渗入到工业生产各个领域和环节。由于开源特有的协作模式与使用方式，在传统软件安全问题基础上，又带来了治理分散化、影响广泛化和依赖复杂化等问题。同时，开源开源软件许可协议引发的诉讼和技术管制等问题也影响着开源软件供应链安全。因此，企业应加强对开源治理的重视，深入了解开源规则，并积极参与开源。

　　然后，安势信息资深解决方案架构师朱贤曼分享了《企业如何应对开源软件供应链安全问题》议题。在全球开源软件蓬勃发展的大背景下，很少有企业/组织不使用开源软件，且开源组件的使用占比非常高。但近年来频繁爆发的开源软件供应链安全事件，使企业/组织意识到开源软件的使用带来的巨大风险。如何保障开源软件供应链安全是一个系统工程，需要开源生态中的各方一起协作努力。

　　中兴通讯无线开源总监张晓波在主题演讲《开源软件供应链安全如何在ZTE落地》介绍中兴通讯经过多年的实践，分享是如何确保开源软件供应链安全在ZTE公司内高效的落地。

圆桌论坛

《开源供应链安全》

　　开源是建立在信任之上的共同创新，Linux 基金会成立OpenSSF开源安全基金会的主要目的就是为这份来之不易的信任提供全面的安全保障!根据多份最新开源审计报告显示，97%的商业软件含有开源代码，而且开源代码含量高达90%以上，其中最少81%的软件发现漏洞，超过50%有软件许可证冲突，平均每个商业软件使用的开源组件超过300个，78%的受检代码库至少包含一个漏洞，每个代码库平均有64个漏洞。

　　中国信息通信研究院高级工程师张俊霞、华为技术有限公司开源发展总监崔锦国、OpenSSF 中国工作组副组长、极狐(GitLab) DevOps 布道师马景贺、数澈软件SEAL联合创始人江鹏、奇科厚德副总经理、LFAPAC开源软件布道师龙文选在高峰圆桌论坛上就《开源供应链安全》话题进行了热烈而深入的讨论，嘉宾们分别介绍了发生在自己身边的和了解到的软件安全时间，从而开启了讨论的话题，探讨话题包括为什么我们现在需要紧急关注开源软件供应链安全、现在需要关注的关键领域和应对步骤是什么，如何从临时性安全转向系统化、有效地解决开源软件安全，在未来1-2年内中国的开源安全领域会发生什么，需要发生什么，我们需要避免哪些陷阱，需要抓住哪些机会等。嘉宾们一致认为当前的供应链安全问题还很严峻，需要政府、企业、开发者的共同努力，特别是软件开发企业，需要有系统的、全方位的解决供应链安全的思路、策略、方法和流程，各位嘉宾对此也提出了自身应对开源供应链安全挑战的建议。加入OpenSSF可以帮助大家开拓思路、群策群力共同应对当前的问题，并且认为经过未来几年的努力，我们的软件供应链将有较大的提升。

　　下午场的内容同样丰富，由Linux基金会开源供应链安全总监 David A. Wheeler博士展开，David是开发安全软件和开源软件(OSS)开发方面的专家，他在演讲介绍了 OpenSSF开源安全基金会的最佳实践工作组， 包括评估开源软件的简明指南、开发安全软件的简明指南、安全软件开发基础知识课程、OpenSSF最佳实践徽章以及OpenSSF Security Scorecards。

　　Scantist联合创始人、新加坡南洋理工大学(NTU)计算机学院刘杨教授发表《开源安全：挑战、解决方案和机遇》演讲，讨论软件供应链的严峻形势、面临的威胁及其存在的脆弱性，保护 OSS环境的挑战， 同时展示在保护开源供应链安全方面的努力和解决方案包括：软件组件分析(SCA)、 OSS供应链分析、许可证相关的风险管理、基于人工智能的安全漏洞分析等方面的技术，重点列举有关开源安全的潜在机遇，进一步研究延续相关领域的探索。

　　华为技术有限公司开源发展总监崔锦国发表了《开源供应链安全风险防范的心行践诺》的演讲，内容总结：开源软件的安全发展，需要系统性的思考。因为风险随时可能发生，我们需要深入国际市场逐步让开源成为有效手段。并且构建立足中国、面向世界的开源供应链管理体系;建立开源安全标准体系，覆盖开源治理关键要素;建设符合安全治理要求、提升治理效率的工程能力及工具链;将“安全可靠，合法使用” 作为引入开源软件的核心;坚持“解决问题，创造价值”的开源理念，贡献开源。新形势下开源意识亟需转变，开源需要众智、生态、共享。

　　汇丰科技证券技术服务部门DevSecOps负责人周纪海在主题演讲《DevSecOps在大型银行的体系建设和落地实践》分享包含了DevSecOps的简介、现状、实现DevSecOps的挑战、 DevSecOps常用的工具，结合在银行的案例详细讲解如何建立DevSecOps体系，以及如何落地DevSecOps。

　　OpenSSF 中国工作组副组长、极狐(GitLab) DevOps 布道师马景贺分享了《开源软件供应链安全的背后逻辑与应对之道》的演讲，重点讲述使用开源软件的企业/组织如何应对开源软件供应链安全问题，如何增强安全合规风险管控和安全态势感知能力。

　　数澈软件联合创始人江鹏在演讲议题《从代码到部署-云原生时代的开源软件供应链安全》分享探讨如何结合DevOps流水线各阶段进行软件系统的构成分析，结合各阶段的SBOM信息对构成应用系统的软件供应链的变化进行追踪、关联、控制，以全局视角提升开源软件供应链的可见性及安全性。

　　新思科技开源治理专家王永雷主题演讲《基于OpenSSF Scorecards构建安全可信的开源软件》-开源安全越来越引起全球政府和组织机构的重视，Linux基金会的OpenSSF Scorecard项目，通过对开源项目制定安全标准，并针对这些标准进行检查和打分，自动生成安全的指数来帮助使用者针对使用的开源的组件做出开源风险的决策，那么如何从源头来提升开源软件的安全性，如何帮助开源组件的开发者和社区提升开源软件的安全性，构建安全可信的开源软件软件和生态是我们今天想分享的内容。

　　奇科厚德副总经理、LF APAC开源软件布道师龙文选发表《试论如何用开源技术做好信创》演讲。信创即是指“信息技术应用创新”，包含硬件和软件两个方面。做信创软件，离不开开源软件，因此我们应该以比过去更加开放的态度，拥抱开源，参与全球软件供应链生态，把开源作为我国与全球先进软件技术连接的桥梁。演讲者首先介绍了信创的起源和全球软件业对开源使用的现状，接着分析了利用开源打破软件供应链断供的可能性，最后为中国利用开源做信创软件产业提出了建议。

　　水木羽林CTO白易元在《运用模糊测试保障开源软件供应链安全》演讲中介绍模糊测试技术特点，其在LF、OpenSSF、CNCF等组织中保护开源软件供应链安全的现状与贡献，及应用推广的挑战与方案。

　　全日峰会有高达40万人次通过线上直播收看 ，许多开源安全同仁、开发者在峰会结束后直呼意犹未尽，大家都期待了解、参与更多开源安全相关的活动。OpenSSF将承载着大家的期望继续进步，带来更多精彩的活动，也希望越来越多的开源安全同仁、开发者加入OpenSSF开源安全这个充满活力的社区。感谢各位的陪伴与支持!

　　关于 开源科技OSTech

　　深圳市开源科技咨询有限公司(简称：OSTech)具备成熟的互联网企业市场拓展、开发者社区运营托管服务以及开源生态合作成长体系。OSTech拥有兼具战略理念与实战经验的创意团队，高效灵活的执行团队，规范成熟的项目管控机制，提供从早期策划、设计到执行环环相扣的全方位运营服务，力求带给客户最专业、前沿和实效的服务。