3 月 22 日,FreeBuf 企业安全俱乐部·北京站在北京希尔顿逸林酒店隆重举行。本次大会以“重塑,让安全生产价值”为主题, 围绕数据安全合规、零信任安全、企业安全运营建设和开源安全等行业“痛点”,打造了「数字化安全合规论坛」、「零信任安全论坛」、「安全验证与安全运营实践论坛」、「 开源风险治理实践峰会」四大论坛。
凭借着更快、更便宜、更灵活的优势,开源已经成为了现代企业系统、软件开发、乃至安全平台建设的重要组成部分。然而,开源也带来了潜在的风险和安全问题,如代码质量、漏洞和依赖性管理等方面,对于组织和企业来说,进行开源风险治理实践至关重要。
3月22日下午,「开源风险治理实践峰会」如期举行,六位分别来自安势信息、荣耀终端、中兴通讯、安势信息、中国信通院知识产权与创新发展中心、统信软件的安全专家齐聚一堂,就企业开源安全及相关治理方案展开讨论。
作为大会的首个演讲嘉宾,李建盛(括兕)给现场嘉宾带来了一场别开生面的分享。他以氧气和沙尘暴类比开源和安全治理,短短几句话就将开源技术无可替代的价值,以及难以彻底完成的开源风险治理问题娓娓道来。
正如他所说,Open Source无处不在,我们不知道代码是如何构建的,就像我们不知道沙尘暴从何而起。即使一个天天和代码打交道的技术人员,也无法了解企业用了多少开源软件代码,随之而来的开源风险治理说难于上青天也不为过。因此开源安全与合规治理作为一个系统性的工程,需要引起更多人的重视。
开源软件往往存在知识产权、供应链、安全、技术演进复杂性风险,在一些国家需要符合网络安全 基本要求,才能上市,交付时不得存在任何已知的可利用漏洞,进行安全管控成为开源软件的必选项。中兴通讯开源合规 & 安全治理总监项曙明认为,开源软件的合规和安全是设计和通过过程控制出来的,需要从企业战略、细分市场、资源投入、机制建设入手。
项曙明提出以管好“开源软件、管控好产品版本为两点,构建管控保证机制为一线,通过这“两点一线”来进行管理。在具体的开源软件安全治理架构中,通过构建包括外部环境、内部构建管控能力在内的企业合规安全一体化管控机制,以及管控好“产品版本”、建设管控机制内嵌企业业务流程、构建有效的IT工具流来共同落地安全治理架构。
合规能守护价值,也能更进一步创造价值。要实现这一步,安势信息架构总监朱贤曼认为,要通过有效——管得住、能闭环;高效——效率高、成本低;长效——持续优化、深入骨髓、让业务“低感或无感”实现开源合规数字化的价值。
要实现这一目标,朱贤曼提出,要落实合规要求和管控措施通过系统嵌入流程;建立全局风险地图、预警、拦截、处理一体化;合规管控系统与业务系统互联互通;规则、过程、结果可视,可追溯。这其中离不开业务/流程、专业人才、技术/工具三大关键要素。朱贤曼还从数据底座、合规底座、开源规则库及组件库系统讲解了底座的实现侧面。
随着软件系统复杂性和供应链复杂性提高,SBOM重要性凸显,但SBOM的不稳定性和复杂性需要借助自动化工具才能真正进入生成环节。中国信通院知识产权与创新发展中心产业发展研究部主任张俊霞在该议题中指出,SBOM已经成为数字产品安全与合规保障的必要条件,而非仅仅针对软件产品和软件产业,并已成为发达国家的共识。国内对SBOM及基于SBOM的软件治理需求,会随着全球供应链传导及国内垂直领域对软件透明度内生需求的产生而普及。
我们需要什么样的SCA工具?张俊霞认为,高质量的SCA工具离不开高质量的KB,KB是SCA工具硬科技实力之一,并提出,国内SCA工具快速发展,部分指标、性能已经实现超越,并有本地部署、本地服务的优势。
统信软件法务与知识产权部总监康正德从开源软件的前世今生、开源许可证的法律性质、主流开源许可证的介绍、开源许可证的主要内容、开源软件的合规风险等方面阐述开源软件的合规风险。
随后,他从项目治理、开源供应链、开源管理能力三个层面分享了如何进行开源软件的合规治理,着重强调了企业开源管理能力的建设是开源合规治理的基石。针对开源的知识产权管理,康正德指出,开源软件知识产权风险中包含的原生专利风险和外部专利风险做了深度解读并针对具体如何应对为我们提供了清晰的思路。
在开源治理之路的“挑战”与“机遇”主题圆桌,嘉宾薛植元担任主持人,华为开源管理中心专家高琨,蚂蚁集团开源办公室负责人边思康,阿里巴巴资深知识产权工程师付钦伟,开源社理事、执行长,前华为开源管理中心开源治理专家庄表伟,星策社区发起人,COPU副秘书长, OpenChain中国工作组联合发起人谭中意参与讨论,就开源软件的使用和风险管理进行了深入的探讨,分享企业如何用好开源,避开风险。
FreeBuf是国内关注度最高的网络安全行业门户,同时也是爱好者们交流、分享技术的最佳平台。FreeBuf企业安全俱乐部致力于为企业信息安全体系建设,企业信息安全管理提供交流平台。通过FreeBuf线上媒体平台、FreeBuf企业精品公开课、FreeBuf企业安全俱乐部品牌沙龙、培训会等形式,推动信息安全生态圈建设。