开源软件在数据中心、消费者设备和应用程序中无处不在。使用开源代码已经成为软件开发的新常态,统计显示,一个软件平均有 90% 的代码源自开源,保证开源供应链安全已经远超出了一般开发者的能力。开源安全需要业界共同联手,为行业打造自动化工具、总结最佳实践、推动安全教育和鼓励开源安全协作。
5 月 28 日,GOTC 2023 “开源安全” 专题论坛将于上海张江科学会堂举行。该论坛由 Linux 基金会亚太区副总裁杨轩担任出品人。在本论坛,来自全球的开源安全专家和用户将分享他们的见解和经验。 GOTC 2023 报名通道现已开启。
5 月 28 日,GOTC 2023 “开源安全” 专题论坛将于上海张江科学会堂举行。该论坛由 Linux 基金会亚太区副总裁杨轩担任出品人。在本论坛,来自全球的开源安全专家和用户将分享他们的见解和经验。 GOTC 2023 报名通道现已开启。
全球开源技术峰 会(Global Open-source Technology Conference,简称 GOTC)是由开放原子开源基金会、 Linux 基金会亚太区、上海浦东软件园和开源中国联合发起的,面向全球开发者的一场盛大开源技术盛宴。GOTC 2023 为期两天,将以行业展览、主题发言、特别论坛、分论坛的形式展现,与会者将一起探讨元宇宙、3D 与游戏、eBPF、Web3.0、区块链等热门技术主题,以及开源社区、AIGC、汽车软件、AI 编程、开源教育培训、云原生等热门话题,探讨开源未来,助力开源发展。
“ 开源安全” 专题论坛亮点:
企业级开源供应链安全解决方案
开源风险管理实践
从开源文化到开源安全
开源软件供应链安全的挑战与实践
出品人:杨轩
Linux 基金会亚太区副总裁,拥有超过 20 年软件行业经验,曾在 Saba、Sumtotal、Computer Associates 等大型国际软件公司担任高级管理职务。拥有丰富的企业级软件应用和开发经验,以及软件开源和数字化转型实践经验。
议题:Welcome and Introduction
嘉宾:杨轩 | Linux 基金会亚太区副总裁
演讲时间:13:30-13:40
议题:Keynote
嘉宾:Brian Behlendorf | OpenSSF 总经理
演讲时间:13:40-14:00
议题:基于网络弹性法案的企业级开源供应链安全解决方案
嘉宾:王永雷 | 新思科技资深软件安全架构师
演讲时间:14:00-14:20
议题简介:由于开源组件的广泛使用,由于开源组件的漏洞和代码本身的质量问题导致的网络安全攻击事件和数据泄漏事件频发,使得开源供应链的安全信任产生危机,各个国家和地区都推出了法规和条款来提升开源供应链的安全,提高数字产品的安全性,本次议题探讨基于网络弹性法案的企业级开源供应链安全解决方案 。
议题:Sigstore 助力开源软件供应链安全框架 SLSA 的落地实践
嘉宾:马景贺 | OpenSSF 中国工作组副组长、LFAPAC 开源布道师
演讲时间:14:20-14:40
议题:基于 SBOM 的开源风险管理实践
嘉宾:朱贤曼 | 安势信息资深解决方案架构总监
时间:14:40-15:00
议题简介:(1)使用开源软件面临的挑战概述;开源风险管理的基石 ——SBOM;(2)让可靠合适的软件进入 SBOM—— 开源软件选型;(3)如何将开源治理融入到企业现有开发与交付流程中(SBOM 的生成,更新、流转和存档);(4)企业开源风险管理的数字化和自动化(基于 SBOM 的自动跟踪和问题处理);(5)除 SBOM 之外,企业还需要建设其他什么样的能力来提高开源治理水平。
议题:防微杜渐,构筑企业开源安全防御体系
嘉宾:崔锦国 | 华为开源产业发展总监;王智 | 华为开源安全咨询独立顾问
演讲时间:15:00-15:20
议题简介:当前开源发展蓬勃,也带来了软件供应链安全威胁,华为在拥抱开源基础上,也积极投入资源进行开源安全工具及治理,本次议题有以下部分:(1)业界软件供应链安全发展趋势和实践洞察;(2)华为针对软件供应链安全的分析和实践,包括基于 SBOM 的实践(CI/CD 构建自动生成,合规和漏洞分析等)分享,及其他安全防护措施;(3)未来对于开源安全的一些建议。
议题:从亚马逊独特文化看开源安全
嘉宾:郑予彬 | 亚马逊云科技资深开发者布道师
演讲时间:15:20-15:40
议题简介:安全对于亚马逊来说,任何时刻都是首要任务和行动准则。安全文化对亚马逊与开源的互动方式产生着深远的影响。我们希望通过对开源项目 Firecracker 的设计初衷,功能实现的经验进行深入探讨以及分享亚马逊云科技在开源项目中选择 Rust 并广泛使用的最佳实践,让构建者们更多的了解亚马逊对于开源安全各个维度和细节的追求和实现。
议题:用 SBOM 提升软件供应链安全
嘉宾:龙文选 | 奇科厚德副总经理、LFAPAC 开源布道者
演讲时间:15:40-16:00
议题简介:本演讲将介绍 SBOM 的背景,全球推进 SBOM 的状态和发展方向,以及打造 SBOM 的方法、标准,以及如何利用 SBOM 提升软件供应链安全。 SBOM 又叫软件成分清单,可以向软件使用者揭示软件的组成成分。随着软件技术的发展,混源开发模式成为主流,90% 以上的系统软件和应用软件包含开源代码。一方面,我国的信创产业从操作系统到数据库到上层应用,都离不开开源软件;另一方面,开源软件极大促进了开源生态的发展,为我国的信创供应链提供了良好的基础,我国也已经成为全球第二大开源软件的贡献国,成为了重要的开源力量。 但是,开源代码的安全性和合规性问题随着开源的普及也日渐凸显,要保证软件供应链安全,业界正在推动 SBOM 在行业内的应用。美欧出台了相关法案,欧洲也在跟进,我国也在制定相应的标准。 分析 SBOM 主流方法有代码片段分析和依赖关系分析的方法,能够通过这样的技术手段,分析出 SBOM,进而分析软件的许可证清单和软件漏洞清单。用户可以通过 SBOM 和这两个清单,了解代码的合规性和安全隐患,从而采用技术手段化解隐患,让软件的供应链更加安全。
议题:生产环境下多工作负载安全建设实践
嘉宾:陈越 | Elkeid 项目负责人、字节跳动主机安全负责人
演讲时间:16:00-16:20
议题简介:企业生产环境工作负载随着传统的物理、虚拟机到后来的容器、容器集群的演变,其安全风险也随之变化,本次演讲将结合生产环境中的经验,与大家分享多工作负载下的安全困境以及对应措施。
议题:基于代码疫苗技术的开源软件供应链安全治理
嘉宾:董毅 | 悬镜安全 COO
演讲时间:16:20-16:40
议题简介:混源开发及敏捷交付背景下,开源软件成为了软件供应链的重要组成部分,其安全性也成为软件供应链安全治理的关键环节。对于已知开源风险,使用 SCA 工具可以对软件及应用涉及的第三方组件进行全面的资产盘点,同时了解相关组件引入的开源漏洞,便于洞察及监控开源风险。
当新的安全漏洞爆发,官方尚无新版本组件可替换时,RASP 技术可以通过下发热补丁的方式在不修改源码的情况下对攻击和恶意请求进行识别和阻断,实现对未知开源风险的及时治理,为漏洞修复争取时间。
通过 SCA 与 RASP 的结合,可以涵盖已知漏洞和未知漏洞的场景,进而实现开源软件供应链安全治理从开发到运营的闭环,为企业及个人开发者的代码安全赋能。"
议题:开源软件供应链安全的挑战与实践
嘉宾:王宇 | 思探明中国区(Scantist China)产品专家
演讲时间:16:40-17:00
议题简介:在当下网络安全形势日益严峻,网络攻击威胁笼罩全球的情况下,企业数字化的加速推进需要进行整体规划,王宇先生将结合以下内容的介绍和概括,深入浅出地讲解软件供应链风险引入途径和开源软件供应链的治理重点,有干货、有实操、有引领,全方位为企业赋能、赋智。
演讲将涉及以下重点:传统软件供应链 vs 开源软件供应链;软件供应链安全事件深度分析及解读;开源漏洞的影响和危害;软件供应链构成与安全风险引入方式;技术视角下的开源安全挑战;软件供应链安全的关键问题与 OSS 治理;多应用场景的 SCA 工具;可信开源管理及运维。
17:00-17:10 结束 / 交流时间
GOTC 2023 报名通道现已开启,诚邀全球各技术领域开源爱好者共襄盛举!