6 月 12 日，2023 開放原子全球開源峰會開源安全技術與實踐分論壇成功舉辦。本場論壇圍繞開源軟件供應鏈、開源漏洞信息共享機制、開源安全測試工具、人工智能新技術對開源安全領域的影響等方向分享了技術和最佳實踐，討論了開源安全領域最新產(chǎn)業(yè)動態(tài)。

開放原子開源基金會理事長孫文龍

孫文龍在致辭中表示，開源軟件安全問題逐漸引起了業(yè)界的重視，開源軟件漏洞以及供應鏈的攻擊，證明了保護開源軟件和供應鏈的緊迫性。2022 年 10 月成立的開源安全委員會將按照前期的部署，以完善開源安全治理體系、繁榮開源安全生態(tài)為目標，著力于聚焦聚集產(chǎn)業(yè)生態(tài)各方力量，提升開源的安全治理水平。

分論壇上，舉行了開源安全委員會主席、副主席授牌和開源安全委員會新成員授牌儀式。

孫文龍理事長為武延軍主席，任旭東、趙春副主席雷頒發(fā)聘書

孫文龍理事長，武延軍主席，任旭東、趙春雷副主席開源安全委員會新成員授牌

開源安全委員會主席武延軍

武延軍首先介紹了開源安全委員會成立以來的工作進展情況與展望。

統(tǒng)信軟件 CTO 張磊

張磊表示，面對安全測試工具選擇中的困惑，形成一套有參考意義的、公開、公平、公正的開源安全測試工具規(guī)范至關重要。張磊從工具的原則、要求、執(zhí)行、寫作和下一步規(guī)劃等方面進行了詳細的闡釋。

南洋理工大學計算機科學與工程學院教授、網(wǎng)絡安全實驗室主任劉楊（YangLIU）

劉楊（Yang LIU）教授分享了 AI+DevSecOps 的最新研究成果，并從多個角度講述了 AI 驅(qū)動的應用現(xiàn)代化創(chuàng)新技術及其工程應用。

螞蟻集團安全專家余瞰

余瞰闡釋了面對技術原理各異，場景復雜，業(yè)界無可借鑒方案等挑戰(zhàn)，應用安全測試技術（xAST）采用的研究方法和創(chuàng)新成果。

浙江大學研究員紀守領

紀守領通過對行業(yè)背景和實踐過程的介紹，具體闡釋了 UVScan 這一自動化和可擴展的系統(tǒng)如何檢測物聯(lián)網(wǎng)固件中的 TPC 使用違規(guī)。

工業(yè)和信息化部電子第五研究所軟件研究院政策與技術研究室主任云雷

云雷首先指出了開源軟件漏洞情報共享的重要性，并表示國內(nèi)開源漏洞信息感知時間有延遲，且尚未形成成熟高效的共享機制。他表示要共同吸引優(yōu)質(zhì)伙伴共建共治共享，用開源的協(xié)作方式讓開源代碼更安全。

openEuler 開源安全委員會主席魏剛

魏剛先分享了 openEuler 社區(qū)安全框架，隨后就 openEuler 社區(qū)漏洞處理流程、openEuler 社區(qū)工具流水線及軟件供應鏈安全能力進行了具體的介紹。

奇安信科技集團代碼安全事業(yè)部負責人韓建

韓建從開源軟件生態(tài)發(fā)展與安全狀況、國內(nèi)企業(yè)軟件開發(fā)中開源軟件應用狀況、典型開源軟件供應鏈安全風險實例分析等多個方面對開源軟件供應鏈安全進行深入分析，并就開源軟件供應鏈安全保障給出相應建議。

深信服千里目安全技術中心 CTO 王振興

王振興從開源軟件面臨的安全風險入手，分析了當前開源安全風險治理面臨的挑戰(zhàn)，闡釋了深信服千里目技術中心認為的開源風險治理理念、并分享了深信服千里目安全技術中心在開源零日漏洞治理、開源安全漏洞發(fā)現(xiàn)、開源安全風險管理的最新研究進展和最佳實踐案例。

中國軟件評測中心軟件供應鏈技術專家袁薇

袁薇以軟件供應鏈模型為切入點，分析軟件供應鏈安全風險產(chǎn)生的背景、常見風險類型，以及軟件供應鏈研究現(xiàn)狀和成果。她還分享了所在機構的一套軟件供應 2 鏈安全的評估方法，為保障軟件供應鏈安全提供技術參考。

華為云產(chǎn)業(yè)戰(zhàn)略官張銳剛

張銳剛介紹了開源安全及軟件供應鏈產(chǎn)業(yè)洞察、開源治理面臨的產(chǎn)業(yè)挑戰(zhàn)，分享了華為云軟件工程可信在開源治理的最佳實踐。提出開源 OSS 的“安全+發(fā)展”并重平行發(fā)展思路，現(xiàn)代化的數(shù)字基礎設施構建更需要可信的云基礎設施底座，通過可信治理構筑軟件產(chǎn)業(yè)高質(zhì)量之基，通過開源社區(qū)生態(tài)發(fā)展加快應用現(xiàn)代化生態(tài)構建。

深開鴻未來研究院副研究員王潮

王潮先介紹了供應鏈可信風險類型，隨后從開源軟件供應鏈安全漏洞的傳播檢測、開源軟件供應鏈組件沖突等方面具體介紹了供應鏈可信風險消解的實踐路徑。

圓桌論壇環(huán)節(jié)，武延軍、任旭東、趙春雷、Yang LIU、紀守領和國家能源集團數(shù)據(jù)中心網(wǎng)絡安全中心副總經(jīng)理平雷等人就做好開源領域的漏洞管理、開源供應鏈安全、技術革新的挑戰(zhàn)與機遇等話題展開探討，充分交流各自看法。

本場開源安全技術與實踐分論壇搭建起專業(yè)的行業(yè)交流平臺，分享了諸多高質(zhì)量的見地和具有實際效用的思考。通過直面開源安全領域的挑戰(zhàn)，開源安全技術與實踐分論壇為行業(yè)提供有價值、有意義的多元化解決方案，為開源的快速發(fā)展和風險防范探索最佳的平衡點，為彌補風險缺口、共筑安全底線提供了更多的可能。

審核編輯黃宇