以開源軟體為基礎建構資訊系統成為主流趨勢,開源軟體疊代快、安全開發機制欠缺、維護人員不足等現狀,導緻全球開源安全事件頻發,威脅着使用者資訊安全,也帶來了隐私資訊洩露的風險。開源安全風險已成為全球化挑戰,也是開源首要關注的風險點。
要降低開源風險,保障開源安全,開源社群必須做好開源安全機制。為此,openKylin(開放麒麟)社群推出了“可控開源”體系,為開源安全保駕護航。
什麼是“可控開源”?
“可控開源”體系是指在確定開源代碼安全的基礎上,使使用者和開發者能夠安全、持續、穩定的使用開源社群軟體及開源軟體涉及的支援性服務。
“可控開源”的特性
“可控開源”體系從代碼的來源、設計、使用、創新和發展五個重要環節,圍繞代碼流通的全鍊路進行安全管理。
1. 來源可控
對于引入的開源元件,通過合規檢查、安全漏洞掃描、靜态代碼分析、動态代碼分析等技術手段,確定引入openKylin社群的開源元件代碼來源清晰、透明、安全。
2. 設計可控
成立安全委員會,通過建立安全基線、規範開源元件選型、對系統架構可信威脅模組化分析等技術手段,保證openKylin社群開源軟體可信受保護、安全可隔離。
3. 使用可控
提供協定一緻性檢查工具、漏洞檢測修複和軟體更新等機制,避免openKylin開源軟體使用過程中出現法律和知識産權風險,保障開源軟體運作環境、更新維護的安全。
4. 創新可控
提供降低貢獻者門檻的措施,吸引貢獻者參與,并不斷優化貢獻者參與機制和激勵措施。孵化出UKUI、RISC-V、Virtualization等明星SIG組,已具備軟體核心子產品自主研發、核心子產品替換、定制優化、持續對上遊社群的代碼維護貢獻的能力。openKylin開源社群創新能力已達到可控要求。
5. 發展可控
提供自主研發的基礎設施平台和以技術委員會+SIG組主導版本、關鍵技術路線的機制,有效保障openKylin開源軟體發展演進的安全。
“可控開源”目前進展
目前openKylin“可控開源”安全體系正在積極推進針對開源合規、漏洞應急響應和漏洞管理平台的建設,面向多場景為社群的安全保駕護航,及時規避可能存在的安全隐患,具體情況如下:
開放麒麟門禁系統:是由Infrastructure SIG組建設的開源合規檢測平台。平台涵蓋了開源選型可靠性、穩定性、安全性及開源協定風險性檢測,緻力于保障引入的開源元件來源清晰、安全透明。
開放麒麟安全應急響應中心:由SecurityCommittee SIG組建設、廣大社群成員共同貢獻的開源作業系統安全漏洞釋出、響應、處理、釋出的平台。平台涵蓋了上報漏洞的全生命周期管理,緻力于拓寬漏洞發現管道,增強面對未知資訊安全風險的能力。
開放麒麟漏洞管理平台:是SecurityCommittee SIG組為切實履行自身職能,提高漏洞監控與響應修複能力而自主研發的一款漏洞全生命周期監控與管理的服務型平台。
面對日益嚴峻的開源安全挑戰,openKylin作為國内首個桌面作業系統根社群,積極建構開源安全機制和平台,讓開發者能安全高效地在openKylin社群上開展研發工作。接下來,openKylin将持續聚焦“可控開源”體系建設,助推國内開源領域邁向安全創新新階段。