10 月 29 日墨菲安全作為 OSCS 社群創始成員發起首屆 OSCS 技術論壇于北京中關村創業大街圓滿舉辦。本次論壇聯合思否、CSDN、OSChina、51CTO、InfoQ、IT168 等媒體及社群深度合作,共吸引了 3 萬餘名觀衆觀看,會上中國信通院、知名開源專家譚中意、螞蟻、快手的安全專家與墨菲安全技術專家圍繞開源項目安全治理、軟體供應鍊安全體系建設、企業軟體供應鍊安全最佳實踐進行了精彩分享。本次大會圓滿舉辦,感謝多方媒體、企業、開源社群等合作夥伴,以及關注 OSCS 的每一個小夥伴的大力支援。
一、開場緻辭
墨菲安全創始人,OSCS 開源社群發起人章華鵬在緻辭中帶大家深入淺出的了解了軟體供應鍊安全的概念及背景、面臨的風險。基于其十餘年安全建設相關經驗,剖析了軟體供應鍊安全現狀,以及企業面臨的問題、痛點。通過實踐案例生動的講述了供應鍊安全的普遍應用以及價值。OSCS 在軟體供應鍊的這條長鍊路上倡導讓每一個開源項目更安全,也希望能讓每一個開發者能夠更安全地去使用每一個開源項目,共同期待更健康、安全的開源生态。
章華鵬,墨菲安全創始人,OSCS 開源安全社群發起人
二、議題回顧
中國信通院雲大所開源和軟體安全部副主任郭雪老師本次分享其團隊對于軟體供應鍊安全研究背景的研究及軟體供應鍊安全标準體系化建設的相關工作内容,對于軟體供應鍊安全生态建設針對行業治理現狀給出了獨特的見解與分析。
郭雪,中國信通院雲大所開源和軟體安全部副主任(主持工作)
譚中意老師從國際角度介紹了開源供應鍊相關的背景知識及具體案例,講解了目前國際環境下開源供應鍊所面臨的風險與挑戰以及我們如何根據國際标準 OpenChain 來建構安全的軟體供應鍊。
譚中意,第四範式架構師,開源專家,OpenChain中國工作組聯合創始人
邊立忠老師為大家帶來從流程管控、研發生命周期、風險檢測、縱深防禦等多個次元多視角介紹了螞蟻集團在軟體供應鍊安全建設、解決供應鍊的安全風險方面的實踐以及對于 Log4j 漏洞處置的經典案例剖析。
邊立忠,螞蟻集團進階安全專家,螞蟻集團應用安全産品中台負責人
來自墨菲安全的歐陽強斌老師帶大家從供應鍊到軟體供應鍊了解當下安全風險現狀,淺談軟體供應鍊安全的過去、現在和将來,分享墨菲安全是如何打造最實用的軟體供應鍊安全産品。深入淺出的剖析軟體供應鍊安全核心技術原理和解決方案,介紹相關企業風險治理實踐的思路。
歐陽強斌,墨菲安全聯合創始人、墨菲安全實驗室負責人
來自快手安全團隊的吳聖老師通過快手安全團隊的真實實踐經驗,介紹了如何進行第三方軟體的資産識别,帶領我們學習如何對于第三方軟體的來源、實作進行安全性評估以及對部署分發的過程進行管控,全方位的介紹如何通過對運作維護過程中的進行監控等方式提升第三方軟體的安全性。
吳聖,快手基礎安全負責人
三、論壇分享
論壇由章華鵬進行主持,邀請李孟,仙翁科技大資料架構師,Apache Linkis Committer;程岩,螞蟻集團資深安全專家;王書魁,小米資訊安全與隐私部負責人(順序由左至右)參與本次論壇。我們知道目前軟體供應鍊安全是一個很大的話題,國内大家更多在提SCA、開源安全治理,海外也在提一些更前沿的概念,比如基于 sigstore 技術實作的軟體持續安全驗證的産品Chainguard;軟體供應鍊也是近兩年突然被關注,包括近期歐美也出台了軟體供應鍊安全相關的法規,美國白宮的備忘錄要求供應商自證安全、歐盟要求産品提供sbom,否則最高可以處罰1500萬歐元或全球營收2.5%,大家以不同角色視角共同探讨了上述問題及全球軟體供應鍊安全治理方向、未來發展趨勢。
章華鵬,墨菲安全創始人,OSCS 開源安全社群發起人(左一)
李孟,仙翁科技大資料架構師,Apache Linkis Committer(左二)
程岩,螞蟻集團資深安全專家(左三)
王書魁,小米資訊安全與隐私部負責人(右一)
關于OSCS
OSCS 技術能力由墨菲安全技術支援,墨菲安全免費為開發者、開源項目等提供三方元件的安全檢測、許可證合規評估等能力,提供用戶端、GitHub、IDEA 插件等多種檢測方式。目前用戶端工具(murphysec)已在 GitHub 上開源,同時支援快速便捷的與 Gitlab、Jenkins CICD 流程進行內建,目前已支援 Java、JavaScript、Golang、Python、PHP、C#、Ruby、Objective-C、.NET 等語言項目的檢測。
OSCS社群緻力于聯合社群安全白帽子幫助每一個開源項目變的更安全,也讓每一個開發者更安心的使用開源項目。OSCS 提供及時發現開源社群安全風險以及一鍵pr的能力,希望更多更多的開發者能夠加入開源安全的行列,共築安全可持續的開源生态!歡迎大家加入 OSCS,一起為開源安全貢獻一份力量!