“開放原子開發(fā)者工作坊”是由開放原子開源基金會(huì)發(fā)起的面向廣大開發(fā)者的線下開源交流活動(dòng)，旨在分享開發(fā)者參與社區(qū)建設(shè)的心得和體會(huì)、分享開發(fā)經(jīng)驗(yàn)。與志同道合的開發(fā)者們相互交流開發(fā)經(jīng)驗(yàn)、分享開發(fā)心得、獲取前沿技術(shù)趨勢(shì)。

隨著科技的飛速發(fā)展和數(shù)字化進(jìn)程的加速，開源軟件已經(jīng)成為了軟件開發(fā)的重要趨勢(shì)。而開源安全問題也日益突出，如何夯實(shí)開源安全基石，構(gòu)筑安全的開源“護(hù)城河”，已成為企業(yè)實(shí)現(xiàn)高質(zhì)量發(fā)展的重要課題。

9月15日，由開放原子開源基金會(huì)主辦的“開放原子開發(fā)者工作坊”第三期活動(dòng)成功舉辦。活動(dòng)以“源安全——論開源項(xiàng)目的安全之道”為主題，邀請(qǐng)深信服千里目安全技術(shù)中心CTO王振興，Linux基金會(huì)亞太區(qū)總監(jiān)楊軒，中興通訊OSPO主要成員李響，OpenSSF董事、華為開源發(fā)展總監(jiān)&開源安全Leader崔錦國四位大咖齊聚一堂，展開一場(chǎng)精彩紛呈的思想碰撞。白鯨開源高級(jí)社區(qū)經(jīng)理曾輝主持活動(dòng)。

識(shí)漏洞、甄風(fēng)險(xiǎn)

開源安全日常之道

主持人：開發(fā)團(tuán)隊(duì)日常如何有效管理開源依賴和及時(shí)更新，降低組件漏洞的安全風(fēng)險(xiǎn)？需要哪些工具或計(jì)劃來改進(jìn)現(xiàn)狀？

Linux基金會(huì)亞太區(qū)總監(jiān)

楊軒

楊軒：使用開源軟件需要綜合多方面的考慮。一是人員能力，開發(fā)者需要對(duì)開源體系有完備的認(rèn)知，并了解每一種開源軟件許可證的特點(diǎn)，以避免不必要的麻煩；二是開發(fā)者需要為自己的項(xiàng)目建立軟件使用清單，了解如何控制版本，是否有漏洞、補(bǔ)丁等問題；三是針對(duì)企業(yè)、團(tuán)隊(duì)建立開源安全框架也非常重要。目前市面上有很多工具能夠自動(dòng)化掃描并生成使用清單，從而提高工作效率。同時(shí)，團(tuán)隊(duì)參與人員需要充分了解其所使用軟件的開源社區(qū)屬性，以便出現(xiàn)問題時(shí)能夠迅速響應(yīng)。

深信服千里目安全技術(shù)中心CTO

王振興

王振興：改善計(jì)劃涵蓋了“管理”和“技術(shù)”兩個(gè)層面，以技術(shù)角度為例，一是物料清單方面，借助于良好的工具可以直接對(duì)開源軟件所依賴管理的數(shù)據(jù)進(jìn)行梳理；二是風(fēng)險(xiǎn)識(shí)別方面，國內(nèi)的CNVD和NVDB，以及國外的CVE漏洞，都能夠保證漏洞的全面覆蓋，并能及時(shí)進(jìn)行更新；三是面對(duì)漏洞可能被利用的風(fēng)險(xiǎn)，可以進(jìn)行污點(diǎn)追蹤，并梳理代碼中的函數(shù)調(diào)用關(guān)系；四是在修復(fù)方面，可以考慮集成安全的SDK，以及利用RASP技術(shù)進(jìn)行代碼育苗。在OpenSSF基金會(huì)有多個(gè)專注于不同領(lǐng)域的工作組，通過適用不同場(chǎng)景的技術(shù)解決實(shí)際問題。

OpenSSF董事、華為開源發(fā)展總監(jiān)&開源安全Leader

崔錦國

崔錦國：在管理方面，首先，許多開源社區(qū)都設(shè)有專門的安全工作組，而商業(yè)公司則更需要建立與軟件開源和安全相關(guān)的模塊、組織和技術(shù)工具，以承擔(dān)更多的法律責(zé)任、客戶交付和合同責(zé)任，因此建立一套與開源安全相關(guān)的管理實(shí)踐至關(guān)重要。其次，在安全規(guī)范的基礎(chǔ)上，還需對(duì)開源軟件供應(yīng)鏈建立相應(yīng)的管理機(jī)制，包括開源軟件生命周期的管理，使其能夠在管理框架下開發(fā)更多高質(zhì)量的軟件。最后，需要相關(guān)執(zhí)行團(tuán)隊(duì)和相應(yīng)的工具提供支撐，只有具備了工具、人員和管理規(guī)范，并在不斷地規(guī)范約束下，開發(fā)人員才能形成肌肉記憶，保證社區(qū)開發(fā)出安全、高質(zhì)量的軟件。

中興通訊OSPO主要成員

李響

李響：首先，引用開源軟件確實(shí)存在一定的風(fēng)險(xiǎn)，一般情況下，企業(yè)需要制定相關(guān)規(guī)章制度來治理開源軟件的使用，確保將產(chǎn)品中引入開源軟件造成的風(fēng)險(xiǎn)降到最低。其次，針對(duì)依賴和更新問題，我們傾向于保持產(chǎn)品的穩(wěn)定性，并且盡可能將版本保持在相對(duì)合理的區(qū)間，通常這個(gè)周期是4年之內(nèi)。最后，為確保產(chǎn)品的安全性，需要在產(chǎn)品發(fā)布前進(jìn)行SCA掃描，形成SBOM，治理所有高危漏洞和可能對(duì)產(chǎn)品產(chǎn)生影響的低危漏洞。

白鯨開源高級(jí)社區(qū)經(jīng)理

曾輝

錨定位、快修復(fù)

安全漏洞無機(jī)可乘

主持人：當(dāng)遇到高危漏洞，如何快速定位和修復(fù)？業(yè)界可以建立哪些信息共享和漏洞預(yù)警平臺(tái)？

王振興：對(duì)于高危漏洞的挖掘，可以采用工具與人工相結(jié)合的方式。在產(chǎn)品上線后，可以采用漏洞獵捕的方式對(duì)高危漏洞進(jìn)行管理，使用多種工具進(jìn)行流量監(jiān)測(cè)，并通過語義語法的人工智能引擎來識(shí)別已知和未知風(fēng)險(xiǎn)點(diǎn)。同時(shí)，結(jié)合攻擊包和響應(yīng)包，對(duì)已經(jīng)成功執(zhí)行的漏洞進(jìn)行判別，進(jìn)而發(fā)現(xiàn)真正的漏洞。

目前已有工業(yè)和信息化部的NVDB漏洞庫、國測(cè)的CNNVD和CNCERT的CNVD。然而，市面上還沒有專門針對(duì)開源漏洞的平臺(tái)，開放原子開源基金會(huì)正在籌備針對(duì)開源漏洞的項(xiàng)目，這將是一個(gè)包含開源軟件漏洞的平臺(tái)，期待這個(gè)平臺(tái)的推出能填補(bǔ)當(dāng)前行業(yè)空白。

崔錦國：漏洞并不可怕，需要我們對(duì)其引起足夠的重視。一方面我們要加強(qiáng)在社區(qū)推行安全編碼規(guī)范，減少因編碼不規(guī)范而造成的漏洞；另一方面希望大家發(fā)現(xiàn)漏洞的時(shí)候能盡可能上報(bào)。社區(qū)通常會(huì)建立漏洞上報(bào)機(jī)制和規(guī)范，同時(shí)在法律上也有相關(guān)的法規(guī)要求和指導(dǎo)，以合法合規(guī)的方式給出解決方案。針對(duì)漏洞的收錄，國內(nèi)外已建立了相應(yīng)的漏洞平臺(tái)，同時(shí)開放原子開源基金會(huì)安全委員會(huì)也正在建設(shè)開源漏洞信息共享平臺(tái)，屆時(shí)歡迎大家體驗(yàn)使用。

李響：關(guān)于漏洞方面的問題，SCA軟件只能發(fā)現(xiàn)已知漏洞，而未知漏洞需要通過其他安全工具來發(fā)現(xiàn)，并且需要具備在48小時(shí)內(nèi)快速解決問題的能力。對(duì)于項(xiàng)目而言，應(yīng)識(shí)別出重要的開源軟件，并具備一定的代碼維護(hù)能力，以便在緊急情況下能夠及時(shí)修復(fù)漏洞并向社區(qū)提交patch。

建社區(qū)、守安全

開發(fā)者齊心協(xié)力

主持人：如何在開源社區(qū)建立安全維護(hù)的長效機(jī)制，避免老舊組件的遺留漏洞長期未修復(fù)？代碼審計(jì)和漏洞賞金計(jì)劃等方式是否可行？

楊軒：如果我們把整個(gè)中國看成一個(gè)大的社區(qū)，Linux基金會(huì)和開放原子開源基金會(huì)可以攜手借鑒消費(fèi)者委員會(huì)的模式，讓開源軟件的開發(fā)者也能擁有發(fā)現(xiàn)漏洞并報(bào)告的機(jī)制。另外，我認(rèn)為中國參與開源安全領(lǐng)域的開發(fā)者數(shù)量還遠(yuǎn)遠(yuǎn)不夠，大多數(shù)開發(fā)者都是被動(dòng)等待別人發(fā)現(xiàn)bug并解決問題，缺乏主動(dòng)參與安全研究和軟件修復(fù)的意識(shí)和能力。為了改善這一狀況，我呼吁所有開發(fā)者都能夠積極參與開源安全的建設(shè)，Linux基金會(huì)提供了一些幫助大家提高開源安全方面的免費(fèi)課程，歡迎大家踴躍參加。

崔錦國：參與開源活動(dòng)是拓展渠道的好方式，大家可以互相交流實(shí)踐經(jīng)驗(yàn)，共同提高社區(qū)和軟件的安全管理水平。從實(shí)踐角度來看，我們?cè)谝腴_源軟件時(shí)應(yīng)遵循系統(tǒng)性規(guī)則，從開源軟件的官方社區(qū)下載或引用，避免引入被投毒或被污染的軟件。在建立了開源軟件合規(guī)管理規(guī)范的企業(yè)，開發(fā)人員對(duì)開源軟件的使用一般需要申請(qǐng)并經(jīng)過評(píng)估后才能使用。此外，還需要對(duì)引入的開源軟件進(jìn)行生命周期管理，定期對(duì)其進(jìn)行評(píng)估和治理。與此同時(shí)，對(duì)于老舊缺乏維護(hù)的開源軟件應(yīng)考慮退出機(jī)制，做到及時(shí)更新，從而保證產(chǎn)品的穩(wěn)定性和安全性。最后，我們不應(yīng)把安全當(dāng)作成本，而應(yīng)該將安全視為質(zhì)量的組成部分，這樣才能帶來更好的用戶體驗(yàn)和商業(yè)機(jī)會(huì)。

李響：開源社區(qū)的機(jī)制十分重要，希望企業(yè)和開源基金會(huì)等組織能夠制定引入開源軟件的規(guī)范和更新要求，并將其反饋到開源社區(qū)中。在開源社區(qū)中，很難約束開發(fā)者形成共識(shí)，因此需要鼓勵(lì)開發(fā)人員積極參與社區(qū)并為社區(qū)做出貢獻(xiàn)，修復(fù)安全領(lǐng)域漏洞，并與社區(qū)共享，幫助其他開發(fā)者避免類似問題，提升社區(qū)整體安全水平，促進(jìn)社區(qū)進(jìn)步與發(fā)展。

王振興：長期未修復(fù)的漏洞問題需要重視，我們可以參考等級(jí)保護(hù)制度，將安全劃分為不同等級(jí)，同時(shí)對(duì)關(guān)鍵行業(yè)和基礎(chǔ)設(shè)施中使用的開源組件進(jìn)行識(shí)別和優(yōu)先處理。除上述提到的掃描方法外，還可以考慮針對(duì)關(guān)鍵項(xiàng)目和軟件采取眾測(cè)模式，號(hào)召社會(huì)上攻防能力較強(qiáng)的人員參與測(cè)試關(guān)鍵軟件，發(fā)現(xiàn)其中的關(guān)鍵漏洞。

目前，單純以賞金的模式激勵(lì)開發(fā)者收效甚微，并且感興趣的開發(fā)者也比較少。因此，一方面可以考慮是否給予精神獎(jiǎng)勵(lì)，另一方面聯(lián)合安全廠商和社區(qū)，通過頒發(fā)證書等方式將更多安全力量引入開源社區(qū)。

育人才、保技能

共建和諧、安全的開源生態(tài)

主持人：面對(duì)不斷升級(jí)的開源安全挑戰(zhàn)，專業(yè)人才必不可少，對(duì)企業(yè)開源安全人才的培養(yǎng)，各位老師有何建議？

楊軒：開源軟件安全方面存在博弈過程，我們需要平衡開發(fā)任務(wù)和安全需求之間的關(guān)系。一方面，許多開源團(tuán)隊(duì)的負(fù)責(zé)人面臨著完成任務(wù)的壓力，往往主要關(guān)注軟件的開發(fā)進(jìn)度，而安全問題則被視為次要任務(wù)。另一方面，企業(yè)需要建立完善的制度和開源安全團(tuán)隊(duì)，以確保開發(fā)團(tuán)隊(duì)能夠滿足安全需求。同時(shí)，開發(fā)人員還需要充分了解安全實(shí)踐，養(yǎng)成良好的習(xí)慣，形成肌肉記憶，從而可以大幅降低日后出現(xiàn)安全隱患的風(fēng)險(xiǎn)，更好地促進(jìn)開源軟件的安全發(fā)展。

王振興：開源安全人才的培養(yǎng)是我們必須要面對(duì)的問題。企業(yè)可以自行培養(yǎng)具備綜合技能和素質(zhì)的復(fù)合型人才，相關(guān)人才需要具備如下關(guān)鍵素質(zhì)和能力：一是需要了解和掌握一定的漏洞知識(shí)；二是需要具備一定的法律知識(shí)，了解合規(guī)性等方面的要求；三是需要了解市場(chǎng)，以便在采購第三方軟硬件時(shí)能夠把控安全風(fēng)險(xiǎn)。我認(rèn)為，人才最好的培養(yǎng)方式便是在不同的崗位上進(jìn)行歷練，通過輪崗的方式，開發(fā)者可以接觸到更多的業(yè)務(wù)和實(shí)踐機(jī)會(huì)，從而更好地提升綜合技能和素質(zhì)。

崔錦國：人才培養(yǎng)沒有固定的標(biāo)準(zhǔn)，對(duì)于開源社區(qū)來說，點(diǎn)燃開發(fā)者興趣并引導(dǎo)開發(fā)者投入其中是發(fā)展開源社區(qū)的重要一環(huán)。當(dāng)開發(fā)者對(duì)某個(gè)社區(qū)或領(lǐng)域感興趣時(shí)，便愿意主動(dòng)投入時(shí)間和精力去學(xué)習(xí)和探索。在開源社區(qū)中，可以通過參與技術(shù)交流會(huì)議、撰寫文章等方式分享自己的經(jīng)驗(yàn)教訓(xùn)，不僅可以提升自己的能力和水平，還可以為開源社區(qū)的發(fā)展做出貢獻(xiàn)。同時(shí)，這也是一個(gè)結(jié)交朋友、拓展人際關(guān)系的好機(jī)會(huì)。

李響：從企業(yè)內(nèi)部使用開源的角度來看，我們需要關(guān)注安全培訓(xùn)、中層安全人才以及開源治理等方面。首先，針對(duì)安全培訓(xùn)制定規(guī)章制度和流程，以確保開發(fā)人員能夠按照相關(guān)規(guī)定滿足安全要求；其次，每個(gè)項(xiàng)目都應(yīng)該有負(fù)責(zé)安全方面的總監(jiān)，在各個(gè)項(xiàng)目內(nèi)依據(jù)公司整體的安全規(guī)章制度領(lǐng)導(dǎo)安全治理工作；最后，開源治理作為產(chǎn)品安全工作的組成部分，每個(gè)項(xiàng)目都需要專職副總監(jiān)負(fù)責(zé)整個(gè)項(xiàng)目的開源治理活動(dòng)，確保相關(guān)規(guī)章制度得到落實(shí)。

楊軒：Linux基金會(huì)提供的云原生安全認(rèn)證是含金量很高的證書。通過管理員認(rèn)證是獲得安全認(rèn)證的先決條件，并且獲得安全認(rèn)證的收入通常比其他認(rèn)證高。隨著歐美國家不斷出臺(tái)軟件安全法規(guī)，對(duì)安全人才的需求也越來越大，雖然國內(nèi)大廠壟斷了大部分的安全人才，但此類證書還是給希望加入安全領(lǐng)域的開發(fā)者提供了機(jī)會(huì)。

活動(dòng)現(xiàn)場(chǎng)，參會(huì)者們積極發(fā)言，和四位嘉賓就各自領(lǐng)域中的安全問題進(jìn)行了討論，專家們逐一作出回答，現(xiàn)場(chǎng)討論的氣氛一度非常熱烈。

后續(xù)“開放原子開發(fā)者工作坊”系列線下交流會(huì)將定期舉辦，每期將開展不同領(lǐng)域的技術(shù)話題，與大家面對(duì)面交流學(xué)習(xí)，近距離傾聽社區(qū)的聲音，歡迎廣大開發(fā)者持續(xù)關(guān)注和參與。

審核編輯 黃宇