“開放原子開發者工作坊”是由開放原子開源基金會發起的面向廣大開發者的線下開源交流活動,旨在分享開發者參與社區建設的心得和體會、分享開發經驗。與志同道合的開發者們相互交流開發經驗、分享開發心得、獲取前沿技術趨勢。
隨著科技的飛速發展和數字化進程的加速,開源軟件已經成為了軟件開發的重要趨勢。而開源安全問題也日益突出,如何夯實開源安全基石,構筑安全的開源“護城河”,已成為企業實現高質量發展的重要課題。
9月15日,由開放原子開源基金會主辦的“開放原子開發者工作坊”第三期活動成功舉辦。活動以“源安全——論開源項目的安全之道”為主題,邀請深信服千里目安全技術中心CTO王振興,Linux基金會亞太區總監楊軒,中興通訊OSPO主要成員李響,OpenSSF董事、華為開源發展總監&開源安全Leader崔錦國四位大咖齊聚一堂,展開一場精彩紛呈的思想碰撞。白鯨開源高級社區經理曾輝主持活動。
識漏洞、甄風險
開源安全日常之道
主持人:開發團隊日常如何有效管理開源依賴和及時更新,降低組件漏洞的安全風險?需要哪些工具或計劃來改進現狀?
Linux基金會亞太區總監
楊軒
楊軒:使用開源軟件需要綜合多方面的考慮。一是人員能力,開發者需要對開源體系有完備的認知,并了解每一種開源軟件許可證的特點,以避免不必要的麻煩;二是開發者需要為自己的項目建立軟件使用清單,了解如何控制版本,是否有漏洞、補丁等問題;三是針對企業、團隊建立開源安全框架也非常重要。目前市面上有很多工具能夠自動化掃描并生成使用清單,從而提高工作效率。同時,團隊參與人員需要充分了解其所使用軟件的開源社區屬性,以便出現問題時能夠迅速響應。
深信服千里目安全技術中心CTO
王振興
王振興:改善計劃涵蓋了“管理”和“技術”兩個層面,以技術角度為例,一是物料清單方面,借助于良好的工具可以直接對開源軟件所依賴管理的數據進行梳理;二是風險識別方面,國內的CNVD和NVDB,以及國外的CVE漏洞,都能夠保證漏洞的全面覆蓋,并能及時進行更新;三是面對漏洞可能被利用的風險,可以進行污點追蹤,并梳理代碼中的函數調用關系;四是在修復方面,可以考慮集成安全的SDK,以及利用RASP技術進行代碼育苗。在OpenSSF基金會有多個專注于不同領域的工作組,通過適用不同場景的技術解決實際問題。
OpenSSF董事、華為開源發展總監&開源安全Leader
崔錦國
崔錦國:在管理方面,首先,許多開源社區都設有專門的安全工作組,而商業公司則更需要建立與軟件開源和安全相關的模塊、組織和技術工具,以承擔更多的法律責任、客戶交付和合同責任,因此建立一套與開源安全相關的管理實踐至關重要。其次,在安全規范的基礎上,還需對開源軟件供應鏈建立相應的管理機制,包括開源軟件生命周期的管理,使其能夠在管理框架下開發更多高質量的軟件。最后,需要相關執行團隊和相應的工具提供支撐,只有具備了工具、人員和管理規范,并在不斷地規范約束下,開發人員才能形成肌肉記憶,保證社區開發出安全、高質量的軟件。
中興通訊OSPO主要成員
李響
李響:首先,引用開源軟件確實存在一定的風險,一般情況下,企業需要制定相關規章制度來治理開源軟件的使用,確保將產品中引入開源軟件造成的風險降到最低。其次,針對依賴和更新問題,我們傾向于保持產品的穩定性,并且盡可能將版本保持在相對合理的區間,通常這個周期是4年之內。最后,為確保產品的安全性,需要在產品發布前進行SCA掃描,形成SBOM,治理所有高危漏洞和可能對產品產生影響的低危漏洞。
白鯨開源高級社區經理
曾輝
錨定位、快修復
安全漏洞無機可乘
主持人:當遇到高危漏洞,如何快速定位和修復?業界可以建立哪些信息共享和漏洞預警平臺?
王振興:對于高危漏洞的挖掘,可以采用工具與人工相結合的方式。在產品上線后,可以采用漏洞獵捕的方式對高危漏洞進行管理,使用多種工具進行流量監測,并通過語義語法的人工智能引擎來識別已知和未知風險點。同時,結合攻擊包和響應包,對已經成功執行的漏洞進行判別,進而發現真正的漏洞。
目前已有工業和信息化部的NVDB漏洞庫、國測的CNNVD和CNCERT的CNVD。然而,市面上還沒有專門針對開源漏洞的平臺,開放原子開源基金會正在籌備針對開源漏洞的項目,這將是一個包含開源軟件漏洞的平臺,期待這個平臺的推出能填補當前行業空白。
崔錦國:漏洞并不可怕,需要我們對其引起足夠的重視。一方面我們要加強在社區推行安全編碼規范,減少因編碼不規范而造成的漏洞;另一方面希望大家發現漏洞的時候能盡可能上報。社區通常會建立漏洞上報機制和規范,同時在法律上也有相關的法規要求和指導,以合法合規的方式給出解決方案。針對漏洞的收錄,國內外已建立了相應的漏洞平臺,同時開放原子開源基金會安全委員會也正在建設開源漏洞信息共享平臺,屆時歡迎大家體驗使用。
李響:關于漏洞方面的問題,SCA軟件只能發現已知漏洞,而未知漏洞需要通過其他安全工具來發現,并且需要具備在48小時內快速解決問題的能力。對于項目而言,應識別出重要的開源軟件,并具備一定的代碼維護能力,以便在緊急情況下能夠及時修復漏洞并向社區提交patch。
建社區、守安全
開發者齊心協力
主持人:如何在開源社區建立安全維護的長效機制,避免老舊組件的遺留漏洞長期未修復?代碼審計和漏洞賞金計劃等方式是否可行?
楊軒:如果我們把整個中國看成一個大的社區,Linux基金會和開放原子開源基金會可以攜手借鑒消費者委員會的模式,讓開源軟件的開發者也能擁有發現漏洞并報告的機制。另外,我認為中國參與開源安全領域的開發者數量還遠遠不夠,大多數開發者都是被動等待別人發現bug并解決問題,缺乏主動參與安全研究和軟件修復的意識和能力。為了改善這一狀況,我呼吁所有開發者都能夠積極參與開源安全的建設,Linux基金會提供了一些幫助大家提高開源安全方面的免費課程,歡迎大家踴躍參加。
崔錦國:參與開源活動是拓展渠道的好方式,大家可以互相交流實踐經驗,共同提高社區和軟件的安全管理水平。從實踐角度來看,我們在引入開源軟件時應遵循系統性規則,從開源軟件的官方社區下載或引用,避免引入被投毒或被污染的軟件。在建立了開源軟件合規管理規范的企業,開發人員對開源軟件的使用一般需要申請并經過評估后才能使用。此外,還需要對引入的開源軟件進行生命周期管理,定期對其進行評估和治理。與此同時,對于老舊缺乏維護的開源軟件應考慮退出機制,做到及時更新,從而保證產品的穩定性和安全性。最后,我們不應把安全當作成本,而應該將安全視為質量的組成部分,這樣才能帶來更好的用戶體驗和商業機會。
李響:開源社區的機制十分重要,希望企業和開源基金會等組織能夠制定引入開源軟件的規范和更新要求,并將其反饋到開源社區中。在開源社區中,很難約束開發者形成共識,因此需要鼓勵開發人員積極參與社區并為社區做出貢獻,修復安全領域漏洞,并與社區共享,幫助其他開發者避免類似問題,提升社區整體安全水平,促進社區進步與發展。
王振興:長期未修復的漏洞問題需要重視,我們可以參考等級保護制度,將安全劃分為不同等級,同時對關鍵行業和基礎設施中使用的開源組件進行識別和優先處理。除上述提到的掃描方法外,還可以考慮針對關鍵項目和軟件采取眾測模式,號召社會上攻防能力較強的人員參與測試關鍵軟件,發現其中的關鍵漏洞。
目前,單純以賞金的模式激勵開發者收效甚微,并且感興趣的開發者也比較少。因此,一方面可以考慮是否給予精神獎勵,另一方面聯合安全廠商和社區,通過頒發證書等方式將更多安全力量引入開源社區。
育人才、保技能
共建和諧、安全的開源生態
主持人:面對不斷升級的開源安全挑戰,專業人才必不可少,對企業開源安全人才的培養,各位老師有何建議?
楊軒:開源軟件安全方面存在博弈過程,我們需要平衡開發任務和安全需求之間的關系。一方面,許多開源團隊的負責人面臨著完成任務的壓力,往往主要關注軟件的開發進度,而安全問題則被視為次要任務。另一方面,企業需要建立完善的制度和開源安全團隊,以確保開發團隊能夠滿足安全需求。同時,開發人員還需要充分了解安全實踐,養成良好的習慣,形成肌肉記憶,從而可以大幅降低日后出現安全隱患的風險,更好地促進開源軟件的安全發展。
王振興:開源安全人才的培養是我們必須要面對的問題。企業可以自行培養具備綜合技能和素質的復合型人才,相關人才需要具備如下關鍵素質和能力:一是需要了解和掌握一定的漏洞知識;二是需要具備一定的法律知識,了解合規性等方面的要求;三是需要了解市場,以便在采購第三方軟硬件時能夠把控安全風險。我認為,人才最好的培養方式便是在不同的崗位上進行歷練,通過輪崗的方式,開發者可以接觸到更多的業務和實踐機會,從而更好地提升綜合技能和素質。
崔錦國:人才培養沒有固定的標準,對于開源社區來說,點燃開發者興趣并引導開發者投入其中是發展開源社區的重要一環。當開發者對某個社區或領域感興趣時,便愿意主動投入時間和精力去學習和探索。在開源社區中,可以通過參與技術交流會議、撰寫文章等方式分享自己的經驗教訓,不僅可以提升自己的能力和水平,還可以為開源社區的發展做出貢獻。同時,這也是一個結交朋友、拓展人際關系的好機會。
李響:從企業內部使用開源的角度來看,我們需要關注安全培訓、中層安全人才以及開源治理等方面。首先,針對安全培訓制定規章制度和流程,以確保開發人員能夠按照相關規定滿足安全要求;其次,每個項目都應該有負責安全方面的總監,在各個項目內依據公司整體的安全規章制度領導安全治理工作;最后,開源治理作為產品安全工作的組成部分,每個項目都需要專職副總監負責整個項目的開源治理活動,確保相關規章制度得到落實。
楊軒:Linux基金會提供的云原生安全認證是含金量很高的證書。通過管理員認證是獲得安全認證的先決條件,并且獲得安全認證的收入通常比其他認證高。隨著歐美國家不斷出臺軟件安全法規,對安全人才的需求也越來越大,雖然國內大廠壟斷了大部分的安全人才,但此類證書還是給希望加入安全領域的開發者提供了機會。
活動現場,參會者們積極發言,和四位嘉賓就各自領域中的安全問題進行了討論,專家們逐一作出回答,現場討論的氣氛一度非常熱烈。
后續“開放原子開發者工作坊”系列線下交流會將定期舉辦,每期將開展不同領域的技術話題,與大家面對面交流學習,近距離傾聽社區的聲音,歡迎廣大開發者持續關注和參與。
審核編輯 黃宇
-
開源
+關注
關注
3文章
3320瀏覽量
42473 -
開發者
+關注
關注
1文章
565瀏覽量
17005
發布評論請先 登錄
相關推薦
評論