将开源安全落地本土，OpenSSF Meetup Beijing 在京举办

admin

【引言】随着人类快速进入数字化时代，作为强大的创新和协作的开源软件已然成为这个时代的基础设施，像所有的事物一样，易用的另一面：安全问题也日渐凸显，从 Log4Shell 事件(或称 log4j 事件，源自 CVE-2021-44228)，来自政府、企业、教育等机构高度重视开源软件的安全问题，我国各部门和企业也在积极的探索和寻求合作。

Linux 基金会旗下 OpenSSF 基金会是这个领域的带头人，在供应链、认证、最佳开发实践等方面进行积极探索，也得到了众多企业和政府的支持和信赖。6 月 15 日，中国开源软件推进联盟（英文缩写：COPU ）主办的“第十八届开源中国开源世界高峰论坛”邀请到 OpenSSF 基金会 CTO Brian Behlendorf 分享最佳实践。

Brian Behlendorf 作为开源运动的领袖之一，仅在大会上作一次分享是不能满足的，他更希望能够来一场开源共同体的交流和碰撞，于是，在 LFAPAC 开源布道者 OpenSSF SIG 的协助下，众多关注开源和安全的人士集结起来，筹划了一场原汁原味的中国特色的线下聚会。正如 Brian 所言，这次活动是 OpenSSF 落地本土的中心。

6 月 15 日下午，在北京古色古香的大耳胡同里，一场难得的 OpenSSF Meetup 火热展开。本次活动不仅邀请到 OpenSSF 基金会 CTO Brian Behlendorf 深入交流，来自中国信通院云大所开源和软件安全部主任郭雪，IBM Developer、Hyperledger TWGC Board、CNCF Kepler Maintainer 袁怿，ChaosAI 创始人阿法兔，CNCF Ambassdor 周鹏飞，以及来自华为的李一昂与王泽增为大家带来了精彩的主题分享。参会者们讨论范围广泛，涵盖 OSPO、OpenSSF Practice、SigStore 在中国部署的可能性等重要议题。

活动开篇，Linux 基金会亚太区总监杨轩隆重介绍了本场重磅参与者 OpenSSF 基金会 CTO Brian Behlendorf 先生，并鼓励大家畅所欲言，积极交流互动，把握 OpenSSF 这一难得的线下沟通机会。接下来，郭雪向大家分享了信通院开源安全方面的工作概览与洞察，并提出了基于开源的软件产品的安全、开源项目的上游安全等问题。在对一系列安全检测工具进行测评后，她发现不同的 SCA 工具检出原理不同，导致结果差异过大。同时由于用户侧需要平台解决方案，但国内厂商大多聚焦于产品，我国亟需一批开源安全的服务商。

她还特别提出了两个安全领域让人困惑的问题，令人印象深刻：

• OSPO 与开源安全（安全部门）的关系是什么？
• 在安全方面，OSPO 是必须的吗？
  

对此，来自 IBM 的社区爱好者表示：OSPO 的职责可以分布在不同部门，大公司都有为开源软件不同需求来负责的部门，如安全部门、法律部门，在这种情况下 OSPO 更像一个虚拟部门。
英特尔 OSPO 负责人认为：企业除了为大家提供参与开源的指导，还需要有人紧盯开源软件可能出现的新病毒，通常安全专家只注重安全技术，但企业需要专门的人士负责。OSPO 就承担了这样的责任。Brian 也提出了自己的看法，他认为企业不一定要有 OSPO，但一定要有人对开源的安全承担责任提供解决办法。而这需要 OSPO 统筹与组织。随后，袁怿为大家带来了 OpenSSF 在开源社区项目的实践分享，聚焦在实践过程中遇到的问题与挑战。活动现场大家不断交换观点和意见，共同探讨，探索可能的改进方案。对于其中有价值的观点和问题，也将进一步反馈到国际社区开展更大范围的讨论。

杨轩针对其分享，提出了一个值得探讨的问题：对于企业而言，常态化的安全监测如何达成?来自华为的代表崔锦国分享了自身的实践经验，如今华为建立了开源软件资产库，针对版本、漏洞等，在公司内部建立 SBOM 信息，进行实时更新与管理。考虑到并非所有企业都有此基础，更普适化的解决方案仍待探索。接下来，阿法兔提到了发展负责任的人工智能、网络安全与全球合作的重要性。2023 年，旧金山召开的网络安全行业年度盛会 RSA Conference(美国信息安全大会)，关注人工智能和网络安全的结合。此外 2023 年北京召开的智源大会上，山姆·阿尔特曼（Sam Altman）和杰弗里·辛顿（Geoffrey Hinton），都提到了全球都需要彼此合作，在人工智能安全对齐上出一份力。那么，站在 OpenSSF 和网络安全技术专家的角度，该如何协同努力，识别开源AI项目中的安全威胁？提前意识到AI时代安全领域风险和挑战？相关问题有待深入探讨。

短暂的茶歇过后，周鹏飞以《Verifying image integrity in container supply chain》为主题介绍了容器供应链安全的理念，以及在 CNCF 和 OpenSSF 生态中比较流行的容器供应链安全相关开源项目。接下来他还从容器镜像仓库的技术发展趋势中解读了目前存储和分发容器供应链安全制品的优秀方式，并介绍了当前四种常见的用于确保容器供应链安全与一致性的制品，包括 SBOM、数字签名、Provenance Attestations、依赖扫描报告，以及在 CNCF 多个开源项目与各大云厂商近期在验证容器供应器安全分别提供的开源方案与商业产品。最后，他分享了一个基于 CNCF Notary 和 Ratify 构建的端到端的容器供应链安全方案。为容器供应链安全提供了丰富的思考与可行的实操方法。

紧接着李一昂与王泽增分享了 SLSA 数字化的一次实践尝试，基于 SLSA 标准提供了一套需求-代码-构建-制品全流程的数据溯源方案，并提供了配套的自动化构建平台，以实现数据的 E2E 溯源。分享过程中，大家就 SLSA 标准如何参与、如何实现落地，进行了充分讨论。

[color=rgba(0, 0, 0, 0.9)]活动最后环节，OpenSSF Governing Board Member 崔锦国与 Brian 进行了一场精彩的围炉对谈。重点围绕中国开源安全社区关注的问题，如 OpenSSF 开源安全动员计划的最新进展以及面临的挑战、OpenSSF 基金会正在推动建设的 Sterling Tool （一套覆盖SDL的安全集成框架，当前是个设想，将供应链安全评估、安全工具等与开发过程紧密对接起来，确保开发全过程的安全）的设计目标、当前国际环境下的开源社区合作以及 OSPO 可扮演的角色和具体的任务、数字签名项目在中国部署的可行性、SBOM 标准化及其生成和消费、OSPO 可以在开源安全上发挥的作用、SCA 工具在开源社区和商业化上的举措等议题进行了热烈讨论。

尽管 OpenSSF Meetup Beijing 已落下帷幕，但人们对于开源安全的各类问题仍在不停探索。为了有一天能够安心、安全地用好开源，期待更多人加入与推动。全球协作才是开源安全的核心。鸣谢：感谢提供场地支持的薪享宏福、提供茶歇的安势信息以及淮晋阳先生和LFAPAC 开源布道者们背后的默默支持！


引用原文：https://mp.weixin.qq.com/s/-jF-gGP3JfZmJzEwVlMsYA