活动回顾 | 大咖云集“开源安全治理模型和工具”线上研讨会

软件吞噬世界，而开源正在吞噬软件。越来越多企业开始关注如何解决混源开发模式下的软件供应链安全问题。软件供应链安全事件频发，已成为企业开展经营活动面临的重大隐患，也是所有安全厂商致力于要解决的问题。

7 月 22 日下午，中国信息通信研究院与 OpenSSF 中国开源安全工作组携手华为、中兴、安势信息等合作伙伴，围绕“开源安全治理的模型和工具”主题召开线上研讨会。研讨会邀请了 OpenSSF 中国开源安全工作组的专家、行业大咖共六位重磅嘉宾为大家带来精彩的主题演讲！

首先带来精彩分享的是 OpenSSF 亚太技术布道师 Donald Liu，Donald 在名为“SLSA、SBOM 与安全治理”的主题演讲中对 SLSA 的整体框架和 SLSA 1 到 4 级不同要求的技术规范进行了详细介绍；在软件包发布、第三方软件采购和在接受软件包的代码仓库的应用场景下，企业可基于 SLSA 对软件、供应链和它们的组成部分进行评级，帮助评估软件质量。对于 SBOM 和 SLSA 的结合，Donald 表示：SBOM 和 SLSA 可以搭配使用，遵循相关的 SLSA 原则可以更容易地生成更精准可信的 SBOM，帮助构建安全的软件供应链。对 SLSA 感兴趣的小伙伴可以加入 OpenSSF 的 Supply Chain Integrity 工作小组，共建安全开源生态。

现如今，混源开发模式已成为常态，开源软件的使用比例越来越高。但开源对安全是把双刃剑。

华为开源管理中心专家穆文锋带来了名为“开源关键项目识别和依赖关系风险评估”的精彩演讲。首先他指出开源软件存在的典型问题：太多的依赖，太少的维护者。特别是一些流行的著名开源组件被广泛使用时，一旦出现安全漏洞造成的后果往往非常严重。那么该如何改进开源项目的安全状况？穆文锋分别从开源软件关键项目识别、开源软件关键项目看护和开源软件项目安全分析三个方面介绍了业界在开源软件安全方面取得的优秀成果，并对 Census Program II、Critically Score、Alpha-Omega、Scorecord 项目进行了详细的讲解。最后他分享了 CII（Core Infrastructure Initiative）关键基础设施倡议，其中最佳实践徽章（The Best Practices Badge）是安全开源开发的典范。

随着软件供应链攻击浪潮愈演愈烈，全球开源基金会和开源组织贡献了很多优秀的开源安全治理模型和框架来帮助企业实现更安全的软件开发和部署流程。SLSA 作为创建“安全软件供应链”的框架，将供应链保护提升到了新的水平。那么如何将这些优秀的框架落地到企业的实践中？

上海安势信息技术有限公司资深解决方案架构师朱贤曼带来了名为“SLSA 和 SBOM 如何支撑企业应对供应链安全风险”的主题演讲，进一步分享了 SLSA 和 SBOM 在企业的落地实践和探索。随着开源组件使用的比例越来越高，企业很难通过维护 Excel 表格的形式去做统一的管理，不仅会浪费大量的人力，这种方式的准确性、有效性也值得商榷。目前在企业实践中，开发人员通过 SCA 工具生成 SBOM 清单来高效管理使用的开源组件。特别是针对产品线众多或覆盖全球销售市场的企业，SBOM 可发挥巨大的作用，助力企业追溯安全漏洞。

开源软件存在的安全风险除了来自于开源软件自身，还有供应链攻击。那么该如何应对软件供应链中的安全挑战？朱贤曼介绍道，SLSA 1 到 4 级可以在源代码、构建和来源/出处方面对代码进行技术规范要求，从而确保软件供应链的源代码完整性、构建完整性和可用性。遵循 SLSA 框架生成的 SBOM 内容会更准确、信息更丰富也更可信；便于用自动化程度更高的方式去集成 SBOM，并可扩展到其他的应用场景。

如今企业开发人员大量使用开源组件，而这些开源组件又分别来自不同的供应商即软件供应链，快速找到并修复其中的漏洞也变得越发艰难。

中国信通院知识产权与创新发展中心产业发展研究部张俊霞为大家带来了名为“SPDX 标准基本情况”的主题演讲。她指出企业对 SBOM 的需求转折期已经到来，未来大家对软件产业发展的透明性及其能够传递供应链级别的信息会有更多的需求。随后，张俊霞着重介绍了 SBOM 的最小元素和 SPDX 标准：SBOM 的最小元素支持基础 SBOM 功能的重要信息且将成为实现更高软件透明度的基础；SBOM 的最小元素将数据字段、自动化支持和实践和流程纳入了其广义的定义。SPDX 提供了一种格式，用于列出适用于软件包的特定许可证变体和版本。这种格式提供了更强的系统可读性，使得 SBOM 的能力扩展至软件生态系统。

在接下来的圆桌讨论环节，张俊霞还特别邀请了中兴通讯股份有限公司开源合规 &安全治理总监项曙明和中国电信研究院安全专家陈泳共同探讨开源安全治理模型和工具在企业具体实践中的痛点。面对开源合规治理，企业面临哪些挑战？安全治理模型、框架和工具如何在企业实践中落地？

中兴通讯股份有限公司开源合规 &安全治理总监项曙明首先针对以上问题进行了精彩分享。他表示：作为覆盖全球市场的国际化公司，中兴很早就已经构建可信供应链实践，以确保对产品的质量追踪溯源。同时，他强调了 SCA 工具在产生准确全面 SBOM 的重要性以及需要具有的能力，企业需要构建组件来源和版本治理的流程与规范。

中国电信研究院安全专家陈泳分享了中国电信基于 DevOps 的开源安全治理方面的经验。关于建立 PaaS 运营体系，中国电信制定了一系列规范，建立了“8 个统一”的开源治理体系，统一规范和检测能力，利用开源治理的思想，通过梳理对整体架构和流程进行统一。最后，陈泳表示中国电信正做筹建成立 OSPO。

相信通过专家们对开源安全治理模型和工具的详细解读和落地实践经验分享，大家对开源软件供应链安全治理有了更深入的认识。未来，期待能与更多的合作伙伴携手，共同守护中国软件供应链安全。