YELLOW最新免费观看,亚洲人成小说网站色在线观看

“開放原子開發(fā)者工作坊”是由開放原子開源基金會發(fā)起的面向廣大開發(fā)者的線下開源交流活動，旨在分享開發(fā)者參與社區(qū)建設的心得和體會、分享開發(fā)經驗。與志同道合的開發(fā)者們相互交流開發(fā)經驗、分享開發(fā)心得、獲取前沿技術趨勢。

隨著科技的飛速發(fā)展和數(shù)字化進程的加速，開源軟件已經成為了軟件開發(fā)的重要趨勢。而開源安全問題也日益突出，如何夯實開源安全基石，構筑安全的開源“護城河”，已成為企業(yè)實現(xiàn)高質量發(fā)展的重要課題。

9月15日，由開放原子開源基金會主辦的“開放原子開發(fā)者工作坊”第三期活動成功舉辦?；顒右浴霸窗踩撻_源項目的安全之道”為主題，邀請深信服千里目安全技術中心CTO王振興，Linux基金會亞太區(qū)總監(jiān)楊軒，中興通訊OSPO主要成員李響，OpenSSF董事、華為開源發(fā)展總監(jiān)&開源安全Leader崔錦國四位大咖齊聚一堂，展開一場精彩紛呈的思想碰撞。白鯨開源高級社區(qū)經理曾輝主持活動。

識漏洞、甄風險

開源安全日常之道

主持人：開發(fā)團隊日常如何有效管理開源依賴和及時更新，降低組件漏洞的安全風險？需要哪些工具或計劃來改進現(xiàn)狀？

Linux基金會亞太區(qū)總監(jiān)

楊軒

楊軒：使用開源軟件需要綜合多方面的考慮。一是人員能力，開發(fā)者需要對開源體系有完備的認知，并了解每一種開源軟件許可證的特點，以避免不必要的麻煩；二是開發(fā)者需要為自己的項目建立軟件使用清單，了解如何控制版本，是否有漏洞、補丁等問題；三是針對企業(yè)、團隊建立開源安全框架也非常重要。目前市面上有很多工具能夠自動化掃描并生成使用清單，從而提高工作效率。同時，團隊參與人員需要充分了解其所使用軟件的開源社區(qū)屬性，以便出現(xiàn)問題時能夠迅速響應。

深信服千里目安全技術中心CTO

王振興

王振興：改善計劃涵蓋了“管理”和“技術”兩個層面，以技術角度為例，一是物料清單方面，借助于良好的工具可以直接對開源軟件所依賴管理的數(shù)據(jù)進行梳理；二是風險識別方面，國內的CNVD和NVDB，以及國外的CVE漏洞，都能夠保證漏洞的全面覆蓋，并能及時進行更新；三是面對漏洞可能被利用的風險，可以進行污點追蹤，并梳理代碼中的函數(shù)調用關系；四是在修復方面，可以考慮集成安全的SDK，以及利用RASP技術進行代碼育苗。在OpenSSF基金會有多個專注于不同領域的工作組，通過適用不同場景的技術解決實際問題。

OpenSSF董事、華為開源發(fā)展總監(jiān)&開源安全Leader

崔錦國

崔錦國：在管理方面，首先，許多開源社區(qū)都設有專門的安全工作組，而商業(yè)公司則更需要建立與軟件開源和安全相關的模塊、組織和技術工具，以承擔更多的法律責任、客戶交付和合同責任，因此建立一套與開源安全相關的管理實踐至關重要。其次，在安全規(guī)范的基礎上，還需對開源軟件供應鏈建立相應的管理機制，包括開源軟件生命周期的管理，使其能夠在管理框架下開發(fā)更多高質量的軟件。最后，需要相關執(zhí)行團隊和相應的工具提供支撐，只有具備了工具、人員和管理規(guī)范，并在不斷地規(guī)范約束下，開發(fā)人員才能形成肌肉記憶，保證社區(qū)開發(fā)出安全、高質量的軟件。

中興通訊OSPO主要成員

李響

李響：首先，引用開源軟件確實存在一定的風險，一般情況下，企業(yè)需要制定相關規(guī)章制度來治理開源軟件的使用，確保將產品中引入開源軟件造成的風險降到最低。其次，針對依賴和更新問題，我們傾向于保持產品的穩(wěn)定性，并且盡可能將版本保持在相對合理的區(qū)間，通常這個周期是4年之內。最后，為確保產品的安全性，需要在產品發(fā)布前進行SCA掃描，形成SBOM，治理所有高危漏洞和可能對產品產生影響的低危漏洞。

白鯨開源高級社區(qū)經理

曾輝

錨定位、快修復

安全漏洞無機可乘

主持人：當遇到高危漏洞，如何快速定位和修復？業(yè)界可以建立哪些信息共享和漏洞預警平臺？

王振興：對于高危漏洞的挖掘，可以采用工具與人工相結合的方式。在產品上線后，可以采用漏洞獵捕的方式對高危漏洞進行管理，使用多種工具進行流量監(jiān)測，并通過語義語法的人工智能引擎來識別已知和未知風險點。同時，結合攻擊包和響應包，對已經成功執(zhí)行的漏洞進行判別，進而發(fā)現(xiàn)真正的漏洞。

目前已有工業(yè)和信息化部的NVDB漏洞庫、國測的CNNVD和CNCERT的CNVD。然而，市面上還沒有專門針對開源漏洞的平臺，開放原子開源基金會正在籌備針對開源漏洞的項目，這將是一個包含開源軟件漏洞的平臺，期待這個平臺的推出能填補當前行業(yè)空白。

崔錦國：漏洞并不可怕，需要我們對其引起足夠的重視。一方面我們要加強在社區(qū)推行安全編碼規(guī)范，減少因編碼不規(guī)范而造成的漏洞；另一方面希望大家發(fā)現(xiàn)漏洞的時候能盡可能上報。社區(qū)通常會建立漏洞上報機制和規(guī)范，同時在法律上也有相關的法規(guī)要求和指導，以合法合規(guī)的方式給出解決方案。針對漏洞的收錄，國內外已建立了相應的漏洞平臺，同時開放原子開源基金會安全委員會也正在建設開源漏洞信息共享平臺，屆時歡迎大家體驗使用。

李響：關于漏洞方面的問題，SCA軟件只能發(fā)現(xiàn)已知漏洞，而未知漏洞需要通過其他安全工具來發(fā)現(xiàn)，并且需要具備在48小時內快速解決問題的能力。對于項目而言，應識別出重要的開源軟件，并具備一定的代碼維護能力，以便在緊急情況下能夠及時修復漏洞并向社區(qū)提交patch。

建社區(qū)、守安全

開發(fā)者齊心協(xié)力

主持人：如何在開源社區(qū)建立安全維護的長效機制，避免老舊組件的遺留漏洞長期未修復？代碼審計和漏洞賞金計劃等方式是否可行？

楊軒：如果我們把整個中國看成一個大的社區(qū)，Linux基金會和開放原子開源基金會可以攜手借鑒消費者委員會的模式，讓開源軟件的開發(fā)者也能擁有發(fā)現(xiàn)漏洞并報告的機制。另外，我認為中國參與開源安全領域的開發(fā)者數(shù)量還遠遠不夠，大多數(shù)開發(fā)者都是被動等待別人發(fā)現(xiàn)bug并解決問題，缺乏主動參與安全研究和軟件修復的意識和能力。為了改善這一狀況，我呼吁所有開發(fā)者都能夠積極參與開源安全的建設，Linux基金會提供了一些幫助大家提高開源安全方面的免費課程，歡迎大家踴躍參加。

崔錦國：參與開源活動是拓展渠道的好方式，大家可以互相交流實踐經驗，共同提高社區(qū)和軟件的安全管理水平。從實踐角度來看，我們在引入開源軟件時應遵循系統(tǒng)性規(guī)則，從開源軟件的官方社區(qū)下載或引用，避免引入被投毒或被污染的軟件。在建立了開源軟件合規(guī)管理規(guī)范的企業(yè)，開發(fā)人員對開源軟件的使用一般需要申請并經過評估后才能使用。此外，還需要對引入的開源軟件進行生命周期管理，定期對其進行評估和治理。與此同時，對于老舊缺乏維護的開源軟件應考慮退出機制，做到及時更新，從而保證產品的穩(wěn)定性和安全性。最后，我們不應把安全當作成本，而應該將安全視為質量的組成部分，這樣才能帶來更好的用戶體驗和商業(yè)機會。

李響：開源社區(qū)的機制十分重要，希望企業(yè)和開源基金會等組織能夠制定引入開源軟件的規(guī)范和更新要求，并將其反饋到開源社區(qū)中。在開源社區(qū)中，很難約束開發(fā)者形成共識，因此需要鼓勵開發(fā)人員積極參與社區(qū)并為社區(qū)做出貢獻，修復安全領域漏洞，并與社區(qū)共享，幫助其他開發(fā)者避免類似問題，提升社區(qū)整體安全水平，促進社區(qū)進步與發(fā)展。

王振興：長期未修復的漏洞問題需要重視，我們可以參考等級保護制度，將安全劃分為不同等級，同時對關鍵行業(yè)和基礎設施中使用的開源組件進行識別和優(yōu)先處理。除上述提到的掃描方法外，還可以考慮針對關鍵項目和軟件采取眾測模式，號召社會上攻防能力較強的人員參與測試關鍵軟件，發(fā)現(xiàn)其中的關鍵漏洞。

目前，單純以賞金的模式激勵開發(fā)者收效甚微，并且感興趣的開發(fā)者也比較少。因此，一方面可以考慮是否給予精神獎勵，另一方面聯(lián)合安全廠商和社區(qū)，通過頒發(fā)證書等方式將更多安全力量引入開源社區(qū)。

育人才、保技能

共建和諧、安全的開源生態(tài)

主持人：面對不斷升級的開源安全挑戰(zhàn)，專業(yè)人才必不可少，對企業(yè)開源安全人才的培養(yǎng)，各位老師有何建議？

楊軒：開源軟件安全方面存在博弈過程，我們需要平衡開發(fā)任務和安全需求之間的關系。一方面，許多開源團隊的負責人面臨著完成任務的壓力，往往主要關注軟件的開發(fā)進度，而安全問題則被視為次要任務。另一方面，企業(yè)需要建立完善的制度和開源安全團隊，以確保開發(fā)團隊能夠滿足安全需求。同時，開發(fā)人員還需要充分了解安全實踐，養(yǎng)成良好的習慣，形成肌肉記憶，從而可以大幅降低日后出現(xiàn)安全隱患的風險，更好地促進開源軟件的安全發(fā)展。

王振興：開源安全人才的培養(yǎng)是我們必須要面對的問題。企業(yè)可以自行培養(yǎng)具備綜合技能和素質的復合型人才，相關人才需要具備如下關鍵素質和能力：一是需要了解和掌握一定的漏洞知識；二是需要具備一定的法律知識，了解合規(guī)性等方面的要求；三是需要了解市場，以便在采購第三方軟硬件時能夠把控安全風險。我認為，人才最好的培養(yǎng)方式便是在不同的崗位上進行歷練，通過輪崗的方式，開發(fā)者可以接觸到更多的業(yè)務和實踐機會，從而更好地提升綜合技能和素質。

崔錦國：人才培養(yǎng)沒有固定的標準，對于開源社區(qū)來說，點燃開發(fā)者興趣并引導開發(fā)者投入其中是發(fā)展開源社區(qū)的重要一環(huán)。當開發(fā)者對某個社區(qū)或領域感興趣時，便愿意主動投入時間和精力去學習和探索。在開源社區(qū)中，可以通過參與技術交流會議、撰寫文章等方式分享自己的經驗教訓，不僅可以提升自己的能力和水平，還可以為開源社區(qū)的發(fā)展做出貢獻。同時，這也是一個結交朋友、拓展人際關系的好機會。

李響：從企業(yè)內部使用開源的角度來看，我們需要關注安全培訓、中層安全人才以及開源治理等方面。首先，針對安全培訓制定規(guī)章制度和流程，以確保開發(fā)人員能夠按照相關規(guī)定滿足安全要求；其次，每個項目都應該有負責安全方面的總監(jiān)，在各個項目內依據(jù)公司整體的安全規(guī)章制度領導安全治理工作；最后，開源治理作為產品安全工作的組成部分，每個項目都需要專職副總監(jiān)負責整個項目的開源治理活動，確保相關規(guī)章制度得到落實。

楊軒：Linux基金會提供的云原生安全認證是含金量很高的證書。通過管理員認證是獲得安全認證的先決條件，并且獲得安全認證的收入通常比其他認證高。隨著歐美國家不斷出臺軟件安全法規(guī)，對安全人才的需求也越來越大，雖然國內大廠壟斷了大部分的安全人才，但此類證書還是給希望加入安全領域的開發(fā)者提供了機會。

活動現(xiàn)場，參會者們積極發(fā)言，和四位嘉賓就各自領域中的安全問題進行了討論，專家們逐一作出回答，現(xiàn)場討論的氣氛一度非常熱烈。

后續(xù)“開放原子開發(fā)者工作坊”系列線下交流會將定期舉辦，每期將開展不同領域的技術話題，與大家面對面交流學習，近距離傾聽社區(qū)的聲音，歡迎廣大開發(fā)者持續(xù)關注和參與。

原文標題：開放原子開發(fā)者工作坊｜大咖論開源項目的安全之道

文章出處：【微信公眾號：開放原子】歡迎添加關注！文章轉載請注明出處。

聲明：本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人，不代表電子發(fā)燒友網立場。文章及其配圖僅供工程師學習之用，如有內容侵權或者其他違規(guī)問題，請聯(lián)系本站處理。舉報投訴

OpenHarmony

OpenHarmony

+關注

關注
25

文章
3727

瀏覽量
16379
開放原子基金會

開放原子基金會

+關注

關注
1

文章
487

瀏覽量
5222

原文標題：開放原子開發(fā)者工作坊｜大咖論開源項目的安全之道

文章出處：【微信號：開放原子，微信公眾號：開放原子】歡迎添加關注！文章轉載請注明出處。

開發(fā)者的開源鴻蒙故事

近日，在以“一切為了開發(fā)者”為主題的“2024開放原子開發(fā)者大會暨首屆開源技術學術大會”上，開源

發(fā)表于 01-06 10:28 ?40次閱讀

開源鴻蒙榮獲開放原子“2024年度操作系統(tǒng)領域國內活躍開源項目”

近日，2024開放原子開發(fā)者大會暨首屆開源技術學術大會在武漢圓滿召開。在大會開幕式“2024年度國內活躍開源

發(fā)表于 12-28 15:39 ?377次閱讀

普華基礎軟件亮相2024開放原子開發(fā)者大會

近日，以“一切為了開發(fā)者”為主題的“2024開放原子開發(fā)者大會暨首屆開源技術學術大會”在武漢舉辦。普華基礎軟件作為

發(fā)表于 12-24 14:32 ?177次閱讀

潤和軟件亮相2024開放原子開發(fā)者大會

近日，2024開放原子開發(fā)者大會暨首屆開源技術學術大會在武漢圓滿召開。大會由開放原子

發(fā)表于 12-24 10:49 ?167次閱讀

DFRobot參加2024開放原子開發(fā)者大會及開放原子開放硬件許可證發(fā)布儀式

12月20日至21日，2024開放原子開發(fā)者大會暨首屆開源技術學術大會在湖北省武漢市東湖新技術開發(fā)區(qū)的光谷希爾頓酒店隆重舉行。此次大會以“一

發(fā)表于 12-23 16:21 ?271次閱讀

DFRobot參加2024<b class='flag-5'>開放</b><b class='flag-5'>原子</b><b class='flag-5'>開發(fā)者</b>大會及<b class='flag-5'>開放</b><b class='flag-5'>原子</b><b class='flag-5'>開放</b>硬件許可證發(fā)布儀式

2024開放原子開發(fā)者大會精彩回顧

近日，以“一切為了開發(fā)者”為主題的“2024開放原子開發(fā)者大會暨首屆開源技術學術大會”在湖北武漢舉辦。本屆大會由

發(fā)表于 12-23 15:50 ?174次閱讀

2024開放原子開發(fā)者大會暨首屆開源技術學術大會成功舉辦

近日，以“一切為了開發(fā)者”為主題的2024開放原子開發(fā)者大會暨首屆開源技術學術大會在武漢成功舉辦。大會為眾多

發(fā)表于 12-23 14:23 ?153次閱讀

軟通動力與鴻湖萬聯(lián)亮相2024開放原子開發(fā)者大會

12月20日至21日，由開放原子開源基金會、中國通信學會主辦的2024開放原子開發(fā)者大會暨首屆

發(fā)表于 12-23 13:53 ?128次閱讀

開放原子開源基金會與三個開源項目舉行捐贈簽約儀式

近日，在2024開放原子開發(fā)者大會暨首屆開源技術學術大會開幕式上，開放原子

發(fā)表于 12-23 11:29 ?264次閱讀

2024年度國內活躍開源項目和開發(fā)者在武漢揭曉

近日，2024年度國內活躍開源項目&開發(fā)者致謝儀式，亮相2024開放原子開發(fā)者大會暨首屆

發(fā)表于 12-23 11:25 ?230次閱讀

2024開放原子開發(fā)者大會啟幕，中軟國際攜手深開鴻助力開源產業(yè)創(chuàng)新發(fā)展

12月20日-21日，以“一切為了開發(fā)者”為主題的“2024開放原子開發(fā)者大會暨首屆開源技術學術大會”在武漢隆重召開。本屆大會由

發(fā)表于 12-20 20:13 ?844次閱讀

2024<b class='flag-5'>開放</b><b class='flag-5'>原子</b><b class='flag-5'>開發(fā)者</b>大會啟幕，中軟國際攜手深開鴻助力<b class='flag-5'>開源</b>產業(yè)創(chuàng)新發(fā)展

2024開放原子開發(fā)者大會啟幕，深開鴻助力開源產業(yè)創(chuàng)新發(fā)展

12月20日-21日，以“一切為了開發(fā)者”為主題的“2024開放原子開發(fā)者大會暨首屆開源技術學術大會”在武漢隆重召開。本屆大會由

發(fā)表于 12-20 18:34 ?169次閱讀

2024<b class='flag-5'>開放</b><b class='flag-5'>原子</b><b class='flag-5'>開發(fā)者</b>大會啟幕，深開鴻助力<b class='flag-5'>開源</b>產業(yè)創(chuàng)新發(fā)展

軟通動力助陣OpenHarmony開發(fā)者大會2024成功舉辦

近日，由開放原子開源基金會OpenHarmony項目群工作委員會主辦的OpenHarmony開發(fā)者

發(fā)表于 05-28 09:35 ?709次閱讀

OpenHarmony開發(fā)者大會定檔5月25日

開放原子開源基金會欣然宣布，備受矚目的OpenHarmony開發(fā)者大會2024將于5月25日盛大開幕。此次大會由OpenHarmony

發(fā)表于 05-14 11:19 ?554次閱讀

開放原子開源大賽—基于OpenHarmony的團結引擎應用開發(fā)賽正式啟動！

“基于OpenHarmony的團結引擎應用開發(fā)賽”是開放原子全球開源大賽下開設的新興及應用賽的賽題之一，本次賽題旨在鼓勵更多開發(fā)者基于Ope

發(fā)表于 03-13 10:45

搜索歷史

開放原子開發(fā)者工作坊｜大咖論開源項目的安全之道

評論