1. 科技訊首頁
  2. 產(chǎn)經(jīng)

GOTC 2023 “開源安全” 專題論壇議程曝光

陳晨 ? ? 產(chǎn)經(jīng)

開源軟件在數(shù)據(jù)中心、消費者設(shè)備和應(yīng)用程序中無處不在。使用開源代碼已經(jīng)成為軟件開發(fā)的新常態(tài),統(tǒng)計顯示,一個軟件平均有 90% 的代碼源自開源,保證開源供應(yīng)鏈安全已經(jīng)遠超出了一般開發(fā)者的能力。開源安全需要

開源軟件在數(shù)據(jù)中心、消費者設(shè)備和應(yīng)用程序中無處不在。使用開源代碼已經(jīng)成為軟件開發(fā)的新常態(tài),統(tǒng)計顯示,一個軟件平均有 90% 的代碼源自開源,保證開源供應(yīng)鏈安全已經(jīng)遠超出了一般開發(fā)者的能力。開源安全需要業(yè)界共同聯(lián)手,為行業(yè)打造自動化工具、總結(jié)最佳實踐、推動安全教育和鼓勵開源安全協(xié)作。

5 月 28 日,GOTC 2023 “開源安全” 專題論壇將于上海張江科學(xué)會堂舉行。該論壇由 Linux 基金會亞太區(qū)副總裁楊軒擔(dān)任出品人。在本論壇,來自全球的開源安全專家和用戶將分享他們的見解和經(jīng)驗。 GOTC 2023 報名通道現(xiàn)已開啟。

全球開源技術(shù)峰會(Global Open-source Technology Conference,簡稱 GOTC)是由開放原子開源基金會、 Linux 基金會亞太區(qū)、上海浦東軟件園和開源中國聯(lián)合發(fā)起的,面向全球開發(fā)者的一場盛大開源技術(shù)盛宴。GOTC 2023 為期兩天,將以行業(yè)展覽、主題發(fā)言、特別論壇、分論壇的形式展現(xiàn),與會者將一起探討元宇宙、3D 與游戲、eBPF、Web3.0、區(qū)塊鏈等熱門技術(shù)主題,以及開源社區(qū)、AIGC、汽車軟件、AI 編程、開源教育培訓(xùn)、云原生等熱門話題,探討開源未來,助力開源發(fā)展。

GOTC 2023 “開源安全” 專題論壇議程曝光

“ 開源安全” 專題論壇亮點:

企業(yè)級開源供應(yīng)鏈安全解決方案

開源風(fēng)險管理實踐

從開源文化到開源安全

開源軟件供應(yīng)鏈安全的挑戰(zhàn)與實踐

出品人:楊軒

Linux 基金會亞太區(qū)副總裁,擁有超過 20 年軟件行業(yè)經(jīng)驗,曾在 Saba、Sumtotal、Computer Associates 等大型國際軟件公司擔(dān)任高級管理職務(wù)。擁有豐富的企業(yè)級軟件應(yīng)用和開發(fā)經(jīng)驗,以及軟件開源和數(shù)字化轉(zhuǎn)型實踐經(jīng)驗。

議題:Welcome and Introduction

嘉賓:楊軒 | Linux 基金會亞太區(qū)副總裁

演講時間:13:30-13:40

議題:Keynote

嘉賓:Brian Behlendorf | OpenSSF 總經(jīng)理

演講時間:13:40-14:00

議題:基于網(wǎng)絡(luò)彈性法案的企業(yè)級開源供應(yīng)鏈安全解決方案

嘉賓:王永雷 | 新思科技資深軟件安全架構(gòu)師

演講時間:14:00-14:20

議題簡介:由于開源組件的廣泛使用,由于開源組件的漏洞和代碼本身的質(zhì)量問題導(dǎo)致的網(wǎng)絡(luò)安全攻擊事件和數(shù)據(jù)泄漏事件頻發(fā),使得開源供應(yīng)鏈的安全信任產(chǎn)生危機,各個國家和地區(qū)都推出了法規(guī)和條款來提升開源供應(yīng)鏈的安全,提高數(shù)字產(chǎn)品的安全性,本次議題探討基于網(wǎng)絡(luò)彈性法案的企業(yè)級開源供應(yīng)鏈安全解決方案 。

議題:Sigstore 助力開源軟件供應(yīng)鏈安全框架 SLSA 的落地實踐

嘉賓:馬景賀 | OpenSSF 中國工作組副組長、LFAPAC 開源布道師

演講時間:14:20-14:40

議題:基于 SBOM 的開源風(fēng)險管理實踐

嘉賓:朱賢曼 | 安勢信息資深解決方案架構(gòu)總監(jiān)  

演講時間:14:40-15:00

議題簡介:(1)使用開源軟件面臨的挑戰(zhàn)概述;開源風(fēng)險管理的基石 ——SBOM;(2)讓可靠合適的軟件進入 SBOM—— 開源軟件選型;(3)如何將開源治理融入到企業(yè)現(xiàn)有開發(fā)與交付流程中(SBOM 的生成,更新、流轉(zhuǎn)和存檔);(4)企業(yè)開源風(fēng)險管理的數(shù)字化和自動化(基于 SBOM 的自動跟蹤和問題處理);(5)除 SBOM 之外,企業(yè)還需要建設(shè)其他什么樣的能力來提高開源治理水平。

議題:防微杜漸,構(gòu)筑企業(yè)開源安全防御體系

嘉賓:崔錦國 | 華為開源產(chǎn)業(yè)發(fā)展總監(jiān);王智 | 華為開源安全咨詢獨立顧問

演講時間:15:00-15:20

議題簡介:當(dāng)前開源發(fā)展蓬勃,也帶來了軟件供應(yīng)鏈安全威脅,華為在擁抱開源基礎(chǔ)上,也積極投入資源進行開源安全工具及治理,本次議題有以下部分:(1)業(yè)界軟件供應(yīng)鏈安全發(fā)展趨勢和實踐洞察;(2)華為針對軟件供應(yīng)鏈安全的分析和實踐,包括基于 SBOM 的實踐(CI/CD 構(gòu)建自動生成,合規(guī)和漏洞分析等)分享,及其他安全防護措施;(3)未來對于開源安全的一些建議。

議題:從亞馬遜獨特文化看開源安全

嘉賓:鄭予彬 | 亞馬遜云科技資深開發(fā)者布道師

演講時間:15:20-15:40

議題簡介:安全對于亞馬遜來說,任何時刻都是首要任務(wù)和行動準(zhǔn)則。安全文化對亞馬遜與開源的互動方式產(chǎn)生著深遠的影響。我們希望通過對開源項目 Firecracker 的設(shè)計初衷,功能實現(xiàn)的經(jīng)驗進行深入探討以及分享亞馬遜云科技在開源項目中選擇 Rust 并廣泛使用的最佳實踐,讓構(gòu)建者們更多的了解亞馬遜對于開源安全各個維度和細節(jié)的追求和實現(xiàn)。

議題:用 SBOM 提升軟件供應(yīng)鏈安全

嘉賓:龍文選 | 奇科厚德副總經(jīng)理、LFAPAC 開源布道者

演講時間:15:40-16:00

議題簡介:本演講將介紹 SBOM 的背景,全球推進 SBOM 的狀態(tài)和發(fā)展方向,以及打造 SBOM 的方法、標(biāo)準(zhǔn),以及如何利用 SBOM 提升軟件供應(yīng)鏈安全。 SBOM 又叫軟件成分清單,可以向軟件使用者揭示軟件的組成成分。隨著軟件技術(shù)的發(fā)展,混源開發(fā)模式成為主流,90% 以上的系統(tǒng)軟件和應(yīng)用軟件包含開源代碼。一方面,我國的信創(chuàng)產(chǎn)業(yè)從操作系統(tǒng)到數(shù)據(jù)庫到上層應(yīng)用,都離不開開源軟件;另一方面,開源軟件極大促進了開源生態(tài)的發(fā)展,為我國的信創(chuàng)供應(yīng)鏈提供了良好的基礎(chǔ),我國也已經(jīng)成為全球第二大開源軟件的貢獻國,成為了重要的開源力量。 但是,開源代碼的安全性和合規(guī)性問題隨著開源的普及也日漸凸顯,要保證軟件供應(yīng)鏈安全,業(yè)界正在推動 SBOM 在行業(yè)內(nèi)的應(yīng)用。美歐出臺了相關(guān)法案,歐洲也在跟進,我國也在制定相應(yīng)的標(biāo)準(zhǔn)。 分析 SBOM 主流方法有代碼片段分析和依賴關(guān)系分析的方法,能夠通過這樣的技術(shù)手段,分析出 SBOM,進而分析軟件的許可證清單和軟件漏洞清單。用戶可以通過 SBOM 和這兩個清單,了解代碼的合規(guī)性和安全隱患,從而采用技術(shù)手段化解隱患,讓軟件的供應(yīng)鏈更加安全。

議題:生產(chǎn)環(huán)境下多工作負載安全建設(shè)實踐

嘉賓:陳越 | Elkeid 項目負責(zé)人、字節(jié)跳動主機安全負責(zé)人

演講時間:16:00-16:20 

議題簡介:企業(yè)生產(chǎn)環(huán)境工作負載隨著傳統(tǒng)的物理、虛擬機到后來的容器、容器集群的演變,其安全風(fēng)險也隨之變化,本次演講將結(jié)合生產(chǎn)環(huán)境中的經(jīng)驗,與大家分享多工作負載下的安全困境以及對應(yīng)措施。

議題:基于代碼疫苗技術(shù)的開源軟件供應(yīng)鏈安全治理

嘉賓:董毅 | 懸鏡安全 COO

演講時間:16:20-16:40

議題簡介:混源開發(fā)及敏捷交付背景下,開源軟件成為了軟件供應(yīng)鏈的重要組成部分,其安全性也成為軟件供應(yīng)鏈安全治理的關(guān)鍵環(huán)節(jié)。對于已知開源風(fēng)險,使用 SCA 工具可以對軟件及應(yīng)用涉及的第三方組件進行全面的資產(chǎn)盤點,同時了解相關(guān)組件引入的開源漏洞,便于洞察及監(jiān)控開源風(fēng)險。

當(dāng)新的安全漏洞爆發(fā),官方尚無新版本組件可替換時,RASP 技術(shù)可以通過下發(fā)熱補丁的方式在不修改源碼的情況下對攻擊和惡意請求進行識別和阻斷,實現(xiàn)對未知開源風(fēng)險的及時治理,為漏洞修復(fù)爭取時間。

通過 SCA 與 RASP 的結(jié)合,可以涵蓋已知漏洞和未知漏洞的場景,進而實現(xiàn)開源軟件供應(yīng)鏈安全治理從開發(fā)到運營的閉環(huán),為企業(yè)及個人開發(fā)者的代碼安全賦能。"

議題:開源軟件供應(yīng)鏈安全的挑戰(zhàn)與實踐

嘉賓:王宇 | 思探明中國區(qū)(Scantist China)產(chǎn)品專家

演講時間:16:40-17:00

議題簡介:在當(dāng)下網(wǎng)絡(luò)安全形勢日益嚴(yán)峻,網(wǎng)絡(luò)攻擊威脅籠罩全球的情況下,企業(yè)數(shù)字化的加速推進需要進行整體規(guī)劃,王宇先生將結(jié)合以下內(nèi)容的介紹和概括,深入淺出地講解軟件供應(yīng)鏈風(fēng)險引入途徑和開源軟件供應(yīng)鏈的治理重點,有干貨、有實操、有引領(lǐng),全方位為企業(yè)賦能、賦智。

演講將涉及以下重點:傳統(tǒng)軟件供應(yīng)鏈 vs 開源軟件供應(yīng)鏈;軟件供應(yīng)鏈安全事件深度分析及解讀;開源漏洞的影響和危害;軟件供應(yīng)鏈構(gòu)成與安全風(fēng)險引入方式;技術(shù)視角下的開源安全挑戰(zhàn);軟件供應(yīng)鏈安全的關(guān)鍵問題與 OSS 治理;多應(yīng)用場景的 SCA 工具;可信開源管理及運維。

17:00-17:10 結(jié)束 交流時間

GOTC 2023 “開源安全” 專題論壇議程曝光

GOTC 2023 報名通道現(xiàn)已開啟,誠邀全球各技術(shù)領(lǐng)域開源愛好者共襄盛舉!

(本內(nèi)容屬于網(wǎng)絡(luò)轉(zhuǎn)載,文中涉及圖片等內(nèi)容如有侵權(quán),請聯(lián)系編輯刪除。市場有風(fēng)險,選擇需謹(jǐn)慎!此文僅供參考,不作買賣及投資依據(jù)。)

原創(chuàng)文章,作者:陳晨,如若轉(zhuǎn)載,請注明出處:http://m.2079x.cn/article/572005.html

陳晨陳晨管理團隊

相關(guān)推薦