弥合风险缺口 筑牢共享安全｜2023开放原子全球开源峰会开源安全技术与实践分论坛成功举办

6 月 12 日，2023 开放原子全球开源峰会开源安全技术与实践分论坛成功举办。本场论坛围绕开源软件供应链、开源漏洞信息共享机制、开源安全测试工具、人工智能新技术对开源安全领域的影响等方向分享了技术和最佳实践，讨论了开源安全领域最新产业动态。

开放原子开源基金会理事长孙文龙

孙文龙在致辞中表示，开源软件安全问题逐渐引起了业界的重视，开源软件漏洞以及供应链的攻击，证明了保护开源软件和供应链的紧迫性。2022 年 10 月成立的开源安全委员会将按照前期的部署，以完善开源安全治理体系、繁荣开源安全生态为目标，着力于聚焦聚集产业生态各方力量，提升开源的安全治理水平。

分论坛上，举行了开源安全委员会主席、副主席授牌和开源安全委员会新成员授牌仪式。

孙文龙理事长为武延军主席，任旭东、赵春副主席雷颁发聘书

孙文龙理事长，武延军主席，任旭东、赵春雷副主席开源安全委员会新成员授牌

开源安全委员会主席武延军

武延军首先介绍了开源安全委员会成立以来的工作进展情况与展望。

统信软件 CTO 张磊

张磊表示，面对安全测试工具选择中的困惑，形成一套有参考意义的、公开、公平、公正的开源安全测试工具规范至关重要。张磊从工具的原则、要求、执行、写作和下一步规划等方面进行了详细的阐释。

南洋理工大学计算机科学与工程学院教授、网络安全实验室主任刘杨（Yang LIU）

刘杨（Yang LIU）教授分享了 AI+DevSecOps 的最新研究成果，并从多个角度讲述了 AI 驱动的应用现代化创新技术及其工程应用。

蚂蚁集团安全专家余瞰

余瞰阐释了面对技术原理各异，场景复杂，业界无可借鉴方案等挑战，应用安全测试技术（xAST）采用的研究方法和创新成果。

浙江大学研究员纪守领

纪守领通过对行业背景和实践过程的介绍，具体阐释了 UVScan 这一自动化和可扩展的系统如何检测物联网固件中的 TPC 使用违规。

工业和信息化部电子第五研究所软件研究院政策与技术研究室主任云雷

云雷首先指出了开源软件漏洞情报共享的重要性，并表示国内开源漏洞信息感知时间有延迟，且尚未形成成熟高效的共享机制。他表示要共同吸引优质伙伴共建共治共享，用开源的协作方式让开源代码更安全。

openEuler 开源安全委员会主席魏刚

魏刚先分享了 openEuler 社区安全框架，随后就 openEuler 社区漏洞处理流程、openEuler 社区工具流水线及软件供应链安全能力进行了具体的介绍。

奇安信科技集团代码安全事业部负责人韩建

韩建从开源软件生态发展与安全状况、国内企业软件开发中开源软件应用状况、典型开源软件供应链安全风险实例分析等多个方面对开源软件供应链安全进行深入分析，并就开源软件供应链安全保障给出相应建议。

深信服千里目安全技术中心 CTO 王振兴

王振兴从开源软件面临的安全风险入手，分析了当前开源安全风险治理面临的挑战，阐释了深信服千里目技术中心认为的开源风险治理理念、并分享了深信服千里目安全技术中心在开源零日漏洞治理、开源安全漏洞发现、开源安全风险管理的最新研究进展和最佳实践案例。

中国软件评测中心软件供应链技术专家袁薇

袁薇以软件供应链模型为切入点，分析软件供应链安全风险产生的背景、常见风险类型，以及软件供应链研究现状和成果。她还分享了所在机构的一套软件供应 2 链安全的评估方法，为保障软件供应链安全提供技术参考。

华为云产业战略官张锐刚

张锐刚介绍了开源安全及软件供应链产业洞察、开源治理面临的产业挑战，分享了华为云软件工程可信在开源治理的最佳实践。提出开源 OSS 的“安全+发展”并重平行发展思路，现代化的数字基础设施构建更需要可信的云基础设施底座，通过可信治理构筑软件产业高质量之基，通过开源社区生态发展加快应用现代化生态构建。

深开鸿未来研究院副研究员王潮

王潮先介绍了供应链可信风险类型，随后从开源软件供应链安全漏洞的传播检测、开源软件供应链组件冲突等方面具体介绍了供应链可信风险消解的实践路径。

圆桌论坛环节，武延军、任旭东、赵春雷、Yang LIU、纪守领和国家能源集团数据中心网络安全中心副总经理平雷等人就做好开源领域的漏洞管理、开源供应链安全、技术革新的挑战与机遇等话题展开探讨，充分交流各自看法。

本场开源安全技术与实践分论坛搭建起专业的行业交流平台，分享了诸多高质量的见地和具有实际效用的思考。通过直面开源安全领域的挑战，开源安全技术与实践分论坛为行业提供有价值、有意义的多元化解决方案，为开源的快速发展和风险防范探索最佳的平衡点，为弥补风险缺口、共筑安全底线提供了更多的可能。