GOTC 2023 “開源安全”專題論壇議程曝光- OSCHINA編輯部的個人空間- 科技資訊

開源軟件在數據中心、消費者設備和應用程序中無處不在。使用開源代碼已經成為軟件開發的新常態，統計顯示，一個軟件平均有90% 的代碼源自開源，保證開源供應鏈安全已經遠超出了一般開發者的能力。開源安全需要業界共同聯手，為行業打造自動化工具、總結最佳實踐、推動安全教育和鼓勵開源安全協作。

全球開源技術峰會（Global Open-source Technology Conference，簡稱GOTC）是由開放原子開源基金會、 Linux 基金會亞太區、上海浦東軟件園和開源中國聯合發起的，面向全球開發者的一場盛大開源技術盛宴。 GOTC 2023 為期兩天，將以行業展覽、主題發言、特別論壇、分論壇的形式展現，與會者將一起探討元宇宙、3D 與遊戲、eBPF、Web3.0、區塊鍊等熱門技術主題，以及開源社區、AIGC、汽車軟件、AI 編程、開源教育培訓、雲原生等熱門話題，探討開源未來，助力開源發展。
大會官網：
https://gotc.oschina.net/

“
開源安全”專題論壇亮點：

• 企業級開源供應鏈安全解決方案

• 開源風險管理實踐

• 從開源文化到開源安全

• 開源軟件供應鏈安全的挑戰與實踐

出品人：楊軒

Linux基金會亞太區副總裁，擁有超過20 年軟件行業經驗，曾在Saba、Sumtotal、Computer Associates 等大型國際軟件公司擔任高級管理職務。擁有豐富的企業級軟件應用和開發經驗，以及軟件開源和數字化轉型實踐經驗。

議題：Welcome and Introduction

嘉賓：楊軒| Linux基金會亞太區副總裁

演講時間：13:30-13:40

議題：Keynote

嘉賓：Brian Behlendorf | OpenSSF 總經理

演講時間：13:40-14:00

議題：基於網絡彈性法案的企業級開源供應鏈安全解決方案

嘉賓：王永雷| 新思科技資深軟件安全架構師

演講時間：14:00-14:20

議題簡介：由於開源組件的廣泛使用，由於開源組件的漏洞和代碼本身的質量問題導致的網絡安全攻擊事件和數據洩漏事件頻發，使得開源供應鏈的安全信任產生危機，各個國家和地區都推出了法規和條款來提升開源供應鏈的安全，提高數字產品的安全性，本次議題探討基於網絡彈性法案的企業級開源供應鏈安全解決方案。

議題：Sigstore 助力開源軟件供應鏈安全框架SLSA 的落地實踐

嘉賓：馬景賀| OpenSSF 中國工作組副組長、LFAPAC 開源佈道師

演講時間：14:20-14:40

議題：基於SBOM 的開源風險管理實踐

嘉賓：朱賢曼| 安勢信息資深解決方案架構總監

演講時間：14:40-15:00

議題簡介：（1）使用開源軟件面臨的挑戰概述；開源風險管理的基石——SBOM；（2）讓可靠合適的軟件進入SBOM——開源軟件選型；（3）如何將開源治理融入到企業現有開發與交付流程中（SBOM的生成，更新、流轉和存檔）；（4）企業開源風險管理的數字化和自動化（基於SBOM的自動跟踪和問題處理）；（5）除SBOM 之外，企業還需要建設其他什麼樣的能力來提高開源治理水平。

議題：防微杜漸，構築企業開源安全防禦體系

嘉賓：崔錦國| 華為開源產業發展總監；王智| 華為開源安全諮詢獨立顧問

演講時間：15:00-15:20

議題簡介：當前開源發展蓬勃，也帶來了軟件供應鏈安全威脅，華為在擁抱開源基礎上，也積極投入資源進行開源安全工具及治理，本次議題有以下部分：（1）業界軟件供應鏈安全發展趨勢和實踐洞察；（2）華為針對軟件供應鏈安全的分析和實踐，包括基於SBOM 的實踐（CI/CD 構建自動生成，合規和漏洞分析等）分享，及其他安全防護措施；（3）未來對於開源安全的一些建議。

議題：從亞馬遜獨特文化看開源安全

嘉賓：鄭予彬| 亞馬遜雲科技資深開發者佈道師

演講時間：15:20-15:40

議題簡介：安全對於亞馬遜來說，任何時刻都是首要任務和行動準則。安全文化對亞馬遜與開源的互動方式產生著深遠的影響。我們希望通過對開源項目Firecracker的設計初衷，功能實現的經驗進行深入探討以及分享亞馬遜雲科技在開源項目中選擇Rust 並廣泛使用的最佳實踐, 讓構建者們更多的了解亞馬遜對於開源安全各個維度和細節的追求和實現。

議題：用SBOM 提升軟件供應鏈安全

嘉賓：龍文選| 奇科厚德副總經理、LFAPAC 開源佈道者

演講時間：15:40-16:00

議題簡介：本演講將介紹SBOM 的背景，全球推進SBOM 的狀態和發展方向，以及打造SBOM 的方法、標準，以及如何利用SBOM 提升軟件供應鏈安全。 SBOM 又叫軟件成分清單，可以向軟件使用者揭示軟件的組成成分。隨著軟件技術的發展，混源開發模式成為主流，90% 以上的系統軟件和應用軟件包含開源代碼。一方面，我國的信創產業從操作系統到數據庫到上層應用，都離不開開源軟件；另一方面，開源軟件極大促進了開源生態的發展，為我國的信創供應鏈提供了良好的基礎，我國也已經成為全球第二大開源軟件的貢獻國，成為了重要的開源力量。但是，開源代碼的安全性和合規性問題隨著開源的普及也日漸凸顯，要保證軟件供應鏈安全，業界正在推動SBOM 在行業內的應用。美歐出台了相關法案，歐洲也在跟進，我國也在製定相應的標準。分析SBOM 主流方法有代碼片段分析和依賴關係分析的方法，能夠通過這樣的技術手段，分析出SBOM，進而分析軟件的許可證清單和軟件漏洞清單。用戶可以通過SBOM 和這兩個清單，了解代碼的合規性和安全隱患，從而採用技術手段化解隱患，讓軟件的供應鏈更加安全。

議題：生產環境下多工作負載安全建設實踐

嘉賓：陳越| Elkeid 項目負責人、字節跳動主機安全負責人

演講時間：16:00-16:20

議題簡介：企業生產環境工作負載隨著傳統的物理、虛擬機到後來的容器、容器集群的演變，其安全風險也隨之變化，本次演講將結合生產環境中的經驗，與大家分享多工作負載下的安全困境以及對應措施。

議題：基於代碼疫苗技術的開源軟件供應鏈安全治理

嘉賓：董毅| 懸鏡安全COO

演講時間：16:20-16:40

議題簡介：混源開發及敏捷交付背景下，開源軟件成為了軟件供應鏈的重要組成部分，其安全性也成為軟件供應鏈安全治理的關鍵環節。對於已知開源風險，使用SCA 工具可以對軟件及應用涉及的第三方組件進行全面的資產盤點，同時了解相關組件引入的開源漏洞，便於洞察及監控開源風險。

當新的安全漏洞爆發，官方尚無新版本組件可替換時，RASP 技術可以通過下發熱補丁的方式在不修改源碼的情況下對攻擊和惡意請求進行識別和阻斷，實現對未知開源風險的及時治理，為漏洞修復爭取時間。

通過SCA 與RASP 的結合，可以涵蓋已知漏洞和未知漏洞的場景，進而實現開源軟件供應鏈安全治理從開發到運營的閉環，為企業及個人開發者的代碼安全賦能。 ”

議題：開源軟件供應鏈安全的挑戰與實踐

嘉賓：王宇| 思探明中國區（Scantist China）產品專家

演講時間：16:40-17:00

議題簡介：在當下網絡安全形勢日益嚴峻，網絡攻擊威脅籠罩全球的情況下，企業數字化的加速推進需要進行整體規劃，王宇先生將結合以下內容的介紹和概括，深入淺出地講解軟件供應鏈風險引入途徑和開源軟件供應鏈的治理重點，有乾貨、有實操、有引領，全方位為企業賦能、賦智。

演講將涉及以下重點：傳統軟件供應鏈vs 開源軟件供應鏈；軟件供應鏈安全事件深度分析及解讀；開源漏洞的影響和危害；軟件供應鏈構成與安全風險引入方式；技術視角下的開源安全挑戰；軟件供應鏈安全的關鍵問題與OSS治理；多應用場景的SCA 工具；可信開源管理及運維。

17:00-17:10 結束/交流時間

GOTC 2023
報名通道現已開啟，誠邀全球各技術領域開源愛好者共襄盛舉！