6 月 12 日，2023 開放原子全球開源峰會開源安全技術(shù)與實踐分論壇成功舉辦。本場論壇圍繞開源軟件供應(yīng)鏈、開源漏洞信息共享機制、開源安全測試工具、人工智能新技術(shù)對開源安全領(lǐng)域的影響等方向分享了技術(shù)和最佳實踐，討論了開源安全領(lǐng)域最新產(chǎn)業(yè)動態(tài)。

開放原子開源基金會理事長孫文龍

孫文龍在致辭中表示，開源軟件安全問題逐漸引起了業(yè)界的重視，開源軟件漏洞以及供應(yīng)鏈的攻擊，證明了保護開源軟件和供應(yīng)鏈的緊迫性。2022 年 10 月成立的開源安全委員會將按照前期的部署，以完善開源安全治理體系、繁榮開源安全生態(tài)為目標，著力于聚焦聚集產(chǎn)業(yè)生態(tài)各方力量，提升開源的安全治理水平。

分論壇上，舉行了開源安全委員會主席、副主席授牌和開源安全委員會新成員授牌儀式。

孫文龍理事長為武延軍主席，任旭東、趙春副主席雷頒發(fā)聘書

孫文龍理事長，武延軍主席，任旭東、趙春雷副主席開源安全委員會新成員授牌

開源安全委員會主席武延軍

武延軍首先介紹了開源安全委員會成立以來的工作進展情況與展望。

統(tǒng)信軟件 CTO 張磊

張磊表示，面對安全測試工具選擇中的困惑，形成一套有參考意義的、公開、公平、公正的開源安全測試工具規(guī)范至關(guān)重要。張磊從工具的原則、要求、執(zhí)行、寫作和下一步規(guī)劃等方面進行了詳細的闡釋。

南洋理工大學(xué)計算機科學(xué)與工程學(xué)院教授、網(wǎng)絡(luò)安全實驗室主任劉楊（YangLIU）

劉楊（Yang LIU）教授分享了 AI+DevSecOps 的最新研究成果，并從多個角度講述了 AI 驅(qū)動的應(yīng)用現(xiàn)代化創(chuàng)新技術(shù)及其工程應(yīng)用。

螞蟻集團安全專家余瞰

余瞰闡釋了面對技術(shù)原理各異，場景復(fù)雜，業(yè)界無可借鑒方案等挑戰(zhàn)，應(yīng)用安全測試技術(shù)（xAST）采用的研究方法和創(chuàng)新成果。

浙江大學(xué)研究員紀守領(lǐng)

紀守領(lǐng)通過對行業(yè)背景和實踐過程的介紹，具體闡釋了 UVScan 這一自動化和可擴展的系統(tǒng)如何檢測物聯(lián)網(wǎng)固件中的 TPC 使用違規(guī)。

工業(yè)和信息化部電子第五研究所軟件研究院政策與技術(shù)研究室主任云雷

云雷首先指出了開源軟件漏洞情報共享的重要性，并表示國內(nèi)開源漏洞信息感知時間有延遲，且尚未形成成熟高效的共享機制。他表示要共同吸引優(yōu)質(zhì)伙伴共建共治共享，用開源的協(xié)作方式讓開源代碼更安全。

openEuler 開源安全委員會主席魏剛

魏剛先分享了 openEuler 社區(qū)安全框架，隨后就 openEuler 社區(qū)漏洞處理流程、openEuler 社區(qū)工具流水線及軟件供應(yīng)鏈安全能力進行了具體的介紹。

奇安信科技集團代碼安全事業(yè)部負責人韓建

韓建從開源軟件生態(tài)發(fā)展與安全狀況、國內(nèi)企業(yè)軟件開發(fā)中開源軟件應(yīng)用狀況、典型開源軟件供應(yīng)鏈安全風(fēng)險實例分析等多個方面對開源軟件供應(yīng)鏈安全進行深入分析，并就開源軟件供應(yīng)鏈安全保障給出相應(yīng)建議。

深信服千里目安全技術(shù)中心 CTO 王振興

王振興從開源軟件面臨的安全風(fēng)險入手，分析了當前開源安全風(fēng)險治理面臨的挑戰(zhàn)，闡釋了深信服千里目技術(shù)中心認為的開源風(fēng)險治理理念、并分享了深信服千里目安全技術(shù)中心在開源零日漏洞治理、開源安全漏洞發(fā)現(xiàn)、開源安全風(fēng)險管理的最新研究進展和最佳實踐案例。

中國軟件評測中心軟件供應(yīng)鏈技術(shù)專家袁薇

袁薇以軟件供應(yīng)鏈模型為切入點，分析軟件供應(yīng)鏈安全風(fēng)險產(chǎn)生的背景、常見風(fēng)險類型，以及軟件供應(yīng)鏈研究現(xiàn)狀和成果。她還分享了所在機構(gòu)的一套軟件供應(yīng) 2 鏈安全的評估方法，為保障軟件供應(yīng)鏈安全提供技術(shù)參考。

華為云產(chǎn)業(yè)戰(zhàn)略官張銳剛

張銳剛介紹了開源安全及軟件供應(yīng)鏈產(chǎn)業(yè)洞察、開源治理面臨的產(chǎn)業(yè)挑戰(zhàn)，分享了華為云軟件工程可信在開源治理的最佳實踐。提出開源 OSS 的“安全+發(fā)展”并重平行發(fā)展思路，現(xiàn)代化的數(shù)字基礎(chǔ)設(shè)施構(gòu)建更需要可信的云基礎(chǔ)設(shè)施底座，通過可信治理構(gòu)筑軟件產(chǎn)業(yè)高質(zhì)量之基，通過開源社區(qū)生態(tài)發(fā)展加快應(yīng)用現(xiàn)代化生態(tài)構(gòu)建。

深開鴻未來研究院副研究員王潮

王潮先介紹了供應(yīng)鏈可信風(fēng)險類型，隨后從開源軟件供應(yīng)鏈安全漏洞的傳播檢測、開源軟件供應(yīng)鏈組件沖突等方面具體介紹了供應(yīng)鏈可信風(fēng)險消解的實踐路徑。

圓桌論壇環(huán)節(jié)，武延軍、任旭東、趙春雷、Yang LIU、紀守領(lǐng)和國家能源集團數(shù)據(jù)中心網(wǎng)絡(luò)安全中心副總經(jīng)理平雷等人就做好開源領(lǐng)域的漏洞管理、開源供應(yīng)鏈安全、技術(shù)革新的挑戰(zhàn)與機遇等話題展開探討，充分交流各自看法。

本場開源安全技術(shù)與實踐分論壇搭建起專業(yè)的行業(yè)交流平臺，分享了諸多高質(zhì)量的見地和具有實際效用的思考。通過直面開源安全領(lǐng)域的挑戰(zhàn)，開源安全技術(shù)與實踐分論壇為行業(yè)提供有價值、有意義的多元化解決方案，為開源的快速發(fā)展和風(fēng)險防范探索最佳的平衡點，為彌補風(fēng)險缺口、共筑安全底線提供了更多的可能。

審核編輯黃宇