供应链安全国际研讨会
2023年4月19日COPU和OpenSSF举行供应链安全问题视频沟通会。
COPU陆主席首先发言,他简要谈到中国开源的发展情况,以及国内正在开发编制开源组件供应链,他指出我们十分关注供应链的安全问题,在国外某些脱钩断链做法恶劣的影响下,必然会冲击我们供应链的安全,中方十分担心给我国带来安全隐患!今天中方与以Brian Behlendorf先生为首的OpenSSF讨论这个问题,非常重要!(陆主席发言另发)
会上,中科院软件所、信通院、木兰社区、开放原子开源基金会代表先后作简短发言,他们介绍了各自单位研发开源和编制供应链的情况。主持会议的陈伟博士还介绍了中方参加会议的CSDN、Circle Linux、字迹跳动的代表。
OpenSSF总经理Brian Behlendorf发言,他对陆主席所说某些国外脱钩断链恶劣影响冲击中国供应链安全表示理解,他说这次会议就是要共同研讨来解决保障供应链安全问题。
他谈到OpenSSF成立已有3年历史,关注供应链安全漏洞,面对很多开源软件安全水平不高,我们关注:①以找到合适的工具的方式,解决潜在安全风险,提高安全度,②加强对软件供应链安全体系服务。③对开发者进行教育,关心漏洞产生,建立评估,对他们工作的评估系统,进行打分。
为了提高开源组件供应链的安全质量,在开源社区专家们共识的基础上,OpenSSF于2023年4月19日发布了软件供应链的安全规范SLSA1.0版本,SLSA是一种安全语言,我们努力将其更严格!这是适应日益增加的供应链安全严格格性,表明软件未被篡改可以安全追溯到其来源,它被纳入开源软件开发的过程中。而且供应链受攻击是一种常见的威胁,一般被敌方利用构建和分发软件过程中的弱点来干扰它,这时SLSA提供了一个框架,以防止源代码和构建系统被篡改。
在会议讨论阶段,陆主席提出,我们不能脱离全球供应链,但又要确保国内供应链安全,是否可采取建设国内、国外供应链双循环机制,探讨“大同小不同”。Brian表示赞同。他说供应链数字签名SigStore服务是建设供应链的重要环节,其一些基础设施是由美企开发的。陆主席担心企业可能受政府胁迫干预中国供应链的安全。Brian指出SigStore中的很多模块是可以独立开发、部署、认证的,中国有你们的自主权,从而可排除来自外国的安全威胁!
参加会议的安泱说,沟通非常愉快!陆主席要求Brian派几位熟悉供应链的专家来华,与中方一起研究保障中方供应链安全的原则、方法,LF-AP的开源专家Keith Chan、杨轩(也是OpenSSF成员)当即表示可以先行!