12月30日,由玄境安全与OpenSCA共同主办的全球首个企业级OpenSCA技术开源大会召开如期在北京泰富饭店,以“线上联动+线下互动”的模式同步开展。中国信息通信研究院、中国网络安全产业联盟、国家信息技术安全研究中心、腾讯安全科恩实验室、百度工程效率部效率云、东方通集团、中兴通讯、乐信集团、北京赛博英杰科技有限公司专家来自国豪律师事务所(北京)等机构、学者、行业领袖齐聚现场,共同见证企业级开源治理解决方案“玄境远见OSS开源威胁管理与解决方案”的正式开源。控制平台”。发布会高潮迭起,亮点纷呈。围绕“开源软件”、“供应链安全”等热点话题带来了不同角度的学术探讨和实践分享,共同展望开源产业生态中的安全新局面。科技驱动安全新趋势近年来,随着云计算、人工智能、物联网等技术的不断发展,IT等信息技术领域也取得了新的突破,可以更好地赋能关键信息化建设基础设施。然而,安全作为主旋律,一直是人们关注的焦点。一方面,传统安全防护措施的缺失,缺乏抵御新的高级威胁的防护屏障;另一方面,在开源趋势下,事后防御手段不再满足安全需求,“安全左移”下提出了更高的安全要求。尤其是最近影响很大的log4j2.x漏洞事件更是引起轩然大波。包括之前的solarwinds事件、ApaceStrust2等漏洞事件都给我们敲响了安全警钟。如何做好此类事件的威胁防护和开源安全的风险治理,是需要积极探讨的新命题。开源安全探索与创新实践在本次大会上,玄境安全创始人兼CEO子亚以《用开源的方式做开源风险治理》为主题,围绕“开源”、“风险治理”、“风险治理”等关键词进行了精彩分享。“OpenSCA”。子牙表示,应用开源是大势所趋,但无法回避常见的Web漏洞、业务逻辑漏洞、开源组件缺陷和后门等漏洞。利用开源来做开源风险管理,可以让开源以多样性拥抱不确定性,形成开源的新范式。此次玄境安全对外发布OpenSCA开源技术,解决看不到、看不到、看不到、看不到、看不到的治理问题。OpenSCA是远鉴OSS开源威胁管控平台的开源版本,是玄境安全旗下的商业级SCA产品。继承了远见OSS多源SCA开源应用安全缺陷检测的核心能力。而且,子牙认为,创新的过程也是价值迭代创造的过程,更有利于拓展人类认知实践的边界。并希望用开源的方式做好开源风险管理,与大家一起保护中国软件供应链的安全!图1玄境安全创始人兼CEO子亚分享中兴通讯开源合规&安全治理总监项树明以《构建开源可信供应链实践分享》为主题分享,开源标准体系的持续落地,行业应用的持续实践和客户需求的提升逐渐成熟和清晰,我们不得不意识到开源安全治理能力已经成为企业必备,也逐渐成为企业进入市场的入门门槛。企业应根据自身行业特点、业务模式和特点,结合外部环境和需求,分析企业的开源风险场景,制定适合企业长远发展的开源风险治理策略,以更开放的商业态度拥抱开源。图2.中兴通讯开源合规与安全治理总监向树明与国浩律师事务所(北京)合伙人胡静分享,《开源软件出口管制合规探讨》的主题,探讨什么是美国出口管制,美国出口与美国出口之间的关系出口管制下的开源软件合规思想和软件管理中长期管理规律的分析,有助于我们树立开源软件管理的全球视野和国际合规意识。图3国浩律师事务所合伙人胡静分享腾讯安全科恩实验室DevSecOps技术专家赵红阳分享《以二进制SCA为核心的制品扫描》。他指出,产品扫描是一个重要的质量检查点,也是运营和发展过程中安全信息的重要来源。产品还面临许可证商业风险、开源组件、linux内核漏洞风险、敏感信息泄露、系统安全基线等安全问题。以二进制SCA为核心,检测安全风险,保证检测率。主要从五个方面入手:1.二进制文件收集与格式分析2.检测技术选择3.开源组件特征库维护4.内核内核漏洞检测5.嵌入式系统安全检测图4腾讯安全科恩实验室DevSecOps技术赵专家鸿洋分享,乐信集团信息安全总监刘志成以《生态闭环治理开源供应链安全》为主题做了精彩分享。他提出,在开源软件的生命周期管理中,应做好导入前、导入后、事件响应三个阶段的准备工作。做好安全风险评估治理、应急演练、风险转移等工作,避免技术(漏洞验证、漏洞分析、缓解措施、代码修复)和资源(可持续性评估、应急响应、风险应对)带来的安全问题transfer),共同构建保险、共享、社区的安全新生态,形成安全闭环。图5乐信集团信息安全总监刘志成分享中国信息通信研究院云计算所副所长郭雪对开源、开源组件、发展历程、和产业发展。数据显示,全球开源项目数量和我国开源项目数量都出现了较大的增长。但同时也面临着技术、运维、管理风险等可预见但又无法回避的困难和挑战。针对这一现象,国家不断出台开源相关政策,强烈认可开源带来的生态价值和产业价值。最后,郭主任系统解读了信通院基于开源生命周期建立的可信开源标准体系,帮助大家为开源的有序发展、制度化、规范化运作建立了更加清晰的框架。图6中国信息通信研究院云计算研究所副所长郭雪分享了使用开源方法进行风险和安全治理。目前,开源已经覆盖了整个软件开发领域,正在构建引领新一代信息技术的新型软件技术创新体系。科技创新与发展。据不完全统计,全球97%的软件开发商和99%的企业都在使用开源软件。大多数基础软件、工业软件和新兴平台软件都是基于开源的。开源软件已经成为软件行业的创新源泉和“标准件库”。与此同时,开源许可证的兼容性问题、开源项目的合规性问题、开源安全漏洞、侵犯开源知识产权等问题也日益突出。每当出现问题时,必须始终找到相应的解决方案!北京大学玄境安全数十位研究员和行业专家智库耗时26280小时潜心打磨,提出“以开源的方式进行开源风险管理”,希望通过简单的配置完成开源组件。检测组件,深度挖掘隐藏在组件中的各种安全漏洞和开源协议风险,帮助企业识别和管理开源风险。未来,玄境安全将依托软件供应链安全技术,布局开源安全产业生态,以前瞻的产业视角打造行业安全产线,不断拓展人类认知与实践的边界,助力更多企业意识到开源风险治理有助于开源生态健康有序发展。如何参与OpenSCA开源项目1.OpenSCA官网:https://opensca.xmirror.cn/2.OpenSCA开源项目地址1.本地检测工具GitHub:https://github.com/XmirrorSecurity/OpenSCA-cliGitee:https://gitee.com/XmirrorSecurity/OpenSCA-cli2。IDEA插件GitHub:https://github.com/XmirrorSecurity/OpenSCA-intellij-pluginGitee:https://gitee.com/XmirrorSecurity/OpenSCA-intellij-plugin扫描二维码,了解更多OpenSCA
