点击蓝字
关注我们
CCF Opensource Development Committee
4月28日
COSV平台共建策略研讨会
CCF开源发展委员会供应链安全工作组(以下简称:CCF-ODC-OSS工作组)于2023年组织国内启动规划并发布CCF版漏洞描述规范COSV Schema与公开漏洞智能汇聚服务COSV Platform。作为工作组24年战略规划重点工作,工作组会继续组织业内同行通过共建共享方式进一步丰富COSV平台能力并提高智能化水平,为中国SCA厂商提供自主可控的精准漏洞数据底座。
为更好地推进COSV平台建设,特在CCF-ODC-OSS工作组下面正式成立COSV项目组,面向全行业招募合作成员。目前该工作组已正式组建,由华为梁广泰博士担任工作组组长,华为李琳专家担任工作组副组长,目前已有10+单位成员报名参与(如有更多行业伙伴感兴趣参与,可扫描后文微信群二维码方式报名参与)。
2024年4月28日,COSV项目组组织在线会议方式顺利召开了“COSV平台共建策略研讨会”。本次会议围绕COSV平台共建策略和相关开源供应链安全核心技术进行了研讨交流并初步制定了合作策略。
图1 COSV Platform漏洞汇聚平台
此次会议由COSV工作组副组长李琳主持,第一个议题邀请了华为技术专家朱留川进行了COSV Platform的能力现状展示,依次演示了开源漏洞数据汇聚、批量上传下载、人工审核与访客评论等特性。此外,COSV平台还提供了贡献排名榜单页面,对于做出贡献的个人或组织,都会在榜单上予以认可与激励。
图2 COSV Platform共建示意图
第二个议题中工作组副组长李琳提出了平台共建合作的初步构想。各单位可通过多个渠道参与共建:1. 作为安全专家进行漏洞数据标注。2. 共建、共享数据。3. 提供开源供应链安全相关核心算法组件进行平台集成。4. 参与平台的工程开发。欢迎各家单位结合自身资源与优势,灵活决策合作共建参与方式。针对各个合作渠道上的突出贡献单位,项目组会依托CCF-ODC公众号、CCF-ODC-OSS工作组、COSV平台等相关渠道,进行及时认可和表彰。
图3 同源漏洞发现方法
第三个议题中,我们邀请了同济大学黄凯锋老师介绍了关于开源软件中同源漏洞发现技术的问题及现状,并介绍了他们围绕该方向上的最新技术研究进展。他们的方法中,通过对同源漏洞中多方法特征选择和特征增强,实现了更准确的同源漏洞匹配。通过扫描开源C/C++和Java项目,发现并获确认同源漏洞190条,其中9条已收录至CVE。此方法可作为COSV平台的关键技术,未来集成到COSV平台之中,进行在线扫描。
图4 会议截图
最后的研讨环节中,来自各单位的专家和老师进行了充分的讨论,对平台的建设与合作方式提出了一些建议。来自东北大学、北京大学、中科院等多家单位表达了合作意愿。这些合作单位计划优先通过数据贡献方式进行合作,后续再进一步明确具体合作方式和工作规划。
此次会议为后续COSV共建共享奠定了良好基础,在COSV工作组的推进下,希望能够逐步推进更多合作单位共建方式有序参与进来共建共享,逐步扩大COSV平台的行业影响力,为国内SCA厂商提供坚实漏洞数据底座。
图5 COSV工作组微信群
往期回顾
1 | |
2 | |
3 | 逐梦开源,共筑未来——第三届GitLink“确实开源”编程夏令营火热招募中! |
更多资讯请见CCF开源发展委员会专区 https://www.gitlink.org.cn/zone/CCF-ODC