墨菲安全成功舉辦首屆 OSCS 軟件供應(yīng)鏈安全技術(shù)論壇

  • 人閱讀
  • 2022-11-01 16:26:32

  • 來(lái)源:站長(zhǎng)之家

  • 相關(guān)關(guān)鍵詞

10 月 29 日墨菲安全作為 OSCS 社區(qū)創(chuàng)始成員發(fā)起首屆 OSCS 技術(shù)論壇于北京中關(guān)村創(chuàng)業(yè)大街圓滿舉辦。本次論壇聯(lián)合思否、CSDN、OSChina、51CTO、InfoQ、IT168 等媒體及社區(qū)深度合作,共吸引了 3 萬(wàn)余名觀眾觀看,會(huì)上中國(guó)信通院、知名開(kāi)源專(zhuān)家譚中意、螞蟻、快手的安全專(zhuān)家與墨菲安全技術(shù)專(zhuān)家圍繞開(kāi)源項(xiàng)目安全治理、軟件供應(yīng)鏈安全體系建設(shè)、企業(yè)軟件供應(yīng)鏈安全最佳實(shí)踐進(jìn)行了精彩分享。本次大會(huì)圓滿舉辦,感謝多方媒體、企業(yè)、開(kāi)源社區(qū)等合作伙伴,以及關(guān)注 OSCS 的每一個(gè)小伙伴的大力支持。

一、開(kāi)場(chǎng)致辭

墨菲安全創(chuàng)始人,OSCS 開(kāi)源社區(qū)發(fā)起人章華鵬在致辭中帶大家深入淺出的了解了軟件供應(yīng)鏈安全的概念及背景、面臨的風(fēng)險(xiǎn)?;谄涫嗄臧踩ㄔO(shè)相關(guān)經(jīng)驗(yàn),剖析了軟件供應(yīng)鏈安全現(xiàn)狀,以及企業(yè)面臨的問(wèn)題、痛點(diǎn)。通過(guò)實(shí)踐案例生動(dòng)的講述了供應(yīng)鏈安全的普遍應(yīng)用以及價(jià)值。OSCS 在軟件供應(yīng)鏈的這條長(zhǎng)鏈路上倡導(dǎo)讓每一個(gè)開(kāi)源項(xiàng)目更安全,也希望能讓每一個(gè)開(kāi)發(fā)者能夠更安全地去使用每一個(gè)開(kāi)源項(xiàng)目,共同期待更健康、安全的開(kāi)源生態(tài)。

章華鵬,墨菲安全創(chuàng)始人,OSCS 開(kāi)源安全社區(qū)發(fā)起人

二、議題回顧

中國(guó)信通院云大所開(kāi)源和軟件安全部副主任郭雪老師本次分享其團(tuán)隊(duì)對(duì)于軟件供應(yīng)鏈安全研究背景的研究及軟件供應(yīng)鏈安全標(biāo)準(zhǔn)體系化建設(shè)的相關(guān)工作內(nèi)容,對(duì)于軟件供應(yīng)鏈安全生態(tài)建設(shè)針對(duì)行業(yè)治理現(xiàn)狀給出了獨(dú)特的見(jiàn)解與分析。

郭雪,中國(guó)信通院云大所開(kāi)源和軟件安全部副主任(主持工作)

譚中意老師從國(guó)際角度介紹了開(kāi)源供應(yīng)鏈相關(guān)的背景知識(shí)及具體案例,講解了目前國(guó)際環(huán)境下開(kāi)源供應(yīng)鏈所面臨的風(fēng)險(xiǎn)與挑戰(zhàn)以及我們?nèi)绾胃鶕?jù)國(guó)際標(biāo)準(zhǔn) OpenChain 來(lái)構(gòu)建安全的軟件供應(yīng)鏈。

譚中意,第四范式架構(gòu)師,開(kāi)源專(zhuān)家,OpenChain中國(guó)工作組聯(lián)合創(chuàng)始人

邊立忠老師為大家?guī)?lái)從流程管控、研發(fā)生命周期、風(fēng)險(xiǎn)檢測(cè)、縱深防御等多個(gè)維度多視角介紹了螞蟻集團(tuán)在軟件供應(yīng)鏈安全建設(shè)、解決供應(yīng)鏈的安全風(fēng)險(xiǎn)方面的實(shí)踐以及對(duì)于 Log4j 漏洞處置的經(jīng)典案例剖析。

邊立忠,螞蟻集團(tuán)高級(jí)安全專(zhuān)家,螞蟻集團(tuán)應(yīng)用安全產(chǎn)品中臺(tái)負(fù)責(zé)人

來(lái)自墨菲安全的歐陽(yáng)強(qiáng)斌老師帶大家從供應(yīng)鏈到軟件供應(yīng)鏈了解當(dāng)下安全風(fēng)險(xiǎn)現(xiàn)狀,淺談軟件供應(yīng)鏈安全的過(guò)去、現(xiàn)在和將來(lái),分享墨菲安全是如何打造最實(shí)用的軟件供應(yīng)鏈安全產(chǎn)品。深入淺出的剖析軟件供應(yīng)鏈安全核心技術(shù)原理和解決方案,介紹相關(guān)企業(yè)風(fēng)險(xiǎn)治理實(shí)踐的思路。

歐陽(yáng)強(qiáng)斌,墨菲安全聯(lián)合創(chuàng)始人、墨菲安全實(shí)驗(yàn)室負(fù)責(zé)人

來(lái)自快手安全團(tuán)隊(duì)的吳圣老師通過(guò)快手安全團(tuán)隊(duì)的真實(shí)實(shí)踐經(jīng)驗(yàn),介紹了如何進(jìn)行第三方軟件的資產(chǎn)識(shí)別,帶領(lǐng)我們學(xué)習(xí)如何對(duì)于第三方軟件的來(lái)源、實(shí)現(xiàn)進(jìn)行安全性評(píng)估以及對(duì)部署分發(fā)的過(guò)程進(jìn)行管控,全方位的介紹如何通過(guò)對(duì)運(yùn)行維護(hù)過(guò)程中的進(jìn)行監(jiān)控等方式提升第三方軟件的安全性。

吳圣,快手基礎(chǔ)安全負(fù)責(zé)人

三、論壇分享

論壇由章華鵬進(jìn)行主持,邀請(qǐng)李孟,仙翁科技大數(shù)據(jù)架構(gòu)師,Apache Linkis Committer;程巖,螞蟻集團(tuán)資深安全專(zhuān)家;王書(shū)魁,小米信息安全與隱私部負(fù)責(zé)人(順序由左至右)參與本次論壇。我們知道當(dāng)前軟件供應(yīng)鏈安全是一個(gè)很大的話題,國(guó)內(nèi)大家更多在提SCA、開(kāi)源安全治理,海外也在提一些更前沿的概念,比如基于 sigstore 技術(shù)實(shí)現(xiàn)的軟件持續(xù)安全驗(yàn)證的產(chǎn)品Chainguard;軟件供應(yīng)鏈也是近兩年突然被關(guān)注,包括近期歐美也出臺(tái)了軟件供應(yīng)鏈安全相關(guān)的法規(guī),美國(guó)白宮的備忘錄要求供應(yīng)商自證安全、歐盟要求產(chǎn)品提供sbom,否則最高可以處罰1500萬(wàn)歐元或全球營(yíng)收2.5%,大家以不同角色視角共同探討了上述問(wèn)題及全球軟件供應(yīng)鏈安全治理方向、未來(lái)發(fā)展趨勢(shì)。

墨菲安全成功舉辦首屆 OSCS 軟件供應(yīng)鏈安全技術(shù)論壇.jpg

章華鵬,墨菲安全創(chuàng)始人,OSCS 開(kāi)源安全社區(qū)發(fā)起人(左一)

李孟,仙翁科技大數(shù)據(jù)架構(gòu)師,Apache Linkis Committer(左二)

程巖,螞蟻集團(tuán)資深安全專(zhuān)家(左三)

王書(shū)魁,小米信息安全與隱私部負(fù)責(zé)人(右一)

關(guān)于OSCS

OSCS 技術(shù)能力由墨菲安全技術(shù)支持,墨菲安全免費(fèi)為開(kāi)發(fā)者、開(kāi)源項(xiàng)目等提供三方組件的安全檢測(cè)、許可證合規(guī)評(píng)估等能力,提供客戶端、GitHub、IDEA 插件等多種檢測(cè)方式。目前客戶端工具(murphysec)已在 GitHub 上開(kāi)源,同時(shí)支持快速便捷的與 Gitlab、Jenkins CICD 流程進(jìn)行集成,目前已支持 Java、JavaScript、Golang、Python、PHP、C#、Ruby、Objective-C、.NET 等語(yǔ)言項(xiàng)目的檢測(cè)。

OSCS社區(qū)致力于聯(lián)合社區(qū)安全白帽子幫助每一個(gè)開(kāi)源項(xiàng)目變的更安全,也讓每一個(gè)開(kāi)發(fā)者更安心的使用開(kāi)源項(xiàng)目。OSCS 提供及時(shí)發(fā)現(xiàn)開(kāi)源社區(qū)安全風(fēng)險(xiǎn)以及一鍵pr的能力,希望更多更多的開(kāi)發(fā)者能夠加入開(kāi)源安全的行列,共筑安全可持續(xù)的開(kāi)源生態(tài)!歡迎大家加入 OSCS,一起為開(kāi)源安全貢獻(xiàn)一份力量!

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )