「Open Atomic Developer Workshop」は、Open Atom Open Source Foundationが主催する開発者向けのオフラインのオープンソース交流イベントで、開発者のコミュニティ構築への参加経験や開発経験の共有を目的としている。同じ考えを持つ開発者と開発経験を交換し、開発に関する洞察を共有し、最先端のテクノロジー トレンドを入手します。
テクノロジーの急速な発展とデジタル化の加速に伴い、オープンソース ソフトウェアはソフトウェア開発における重要なトレンドとなっています。オープンソースのセキュリティ問題はますます顕在化しており、企業が高品質な開発を実現するためには、オープンソースのセキュリティの基礎を固め、安全なオープンソースの「外堀」をいかに構築するかが重要な課題となっている。
9月15日、Open Atomic Open Source Foundationが主催する「Open Atomic Developer Workshop」の第3フェーズが無事に開催された。「ソースセキュリティ - オープンソースプロジェクトのセキュリティについて」をテーマとしたこのイベントには、Sangfor Qianlimu Security Technology Center CTOのWang Zhenxing氏、Linux Foundationアジア太平洋ディレクターのYang Xuan氏、ZTEの主要メンバーであるLi Xiang氏が招待されました。 OSPO、OpenSSF ディレクターおよび Huawei オープンソース開発ディレクター兼オープンソース セキュリティ リーダーである Cui Jinguo の 4 人の著名人が素晴らしいアイデアの衝突のために集まりました。Beluga Open Source のシニア コミュニティ マネージャーである Zeng Hui がイベントを主催しました。
脆弱性を特定し、リスクを特定する
オープンソースのセキュリティに関する日常のヒント
モデレーター: 開発チームはどのようにしてオープンソースの依存関係を効果的に管理し、コンポーネントの脆弱性によるセキュリティ リスクを軽減するために毎日タイムリーに更新しているのでしょうか? 現状を改善するにはどのようなツールやプログラムが必要ですか?
Linux Foundation アジア太平洋ディレクター
ヤン・シュアン
Yang Xuan:オープンソース ソフトウェアを使用するには、さまざまな側面から総合的に考慮する必要があります。1 つ目は人的能力であり、開発者は無用なトラブルを避けるためにオープンソース システムを完全に理解し、各オープンソース ソフトウェア ライセンスの特徴を理解する必要があること、2 つ目は開発者が自分のプロジェクトでソフトウェア使用リストを作成する必要があることです。バージョンを管理する方法と、脆弱性、パッチ、その他の問題があるかどうかを理解します。3番目に、企業やチーム向けのオープンソース セキュリティ フレームワークを確立することも非常に重要です。市場には、作業効率を向上させるために自動的にスキャンして使用状況リストを生成できるツールが数多くあります。同時に、チームの参加者は、問題が発生したときに迅速に対応できるように、使用するソフトウェアのオープンソース コミュニティの特性を十分に理解する必要があります。
Sangfor Qianlimu セキュリティ テクノロジー センター CTO
王真興
Wang Zhenxing:改善計画は「管理」レベルと「技術」レベルの両方をカバーしています。技術的な観点を例に挙げると、最初は部品表です。優れたツールの助けを借りて、オープンソース ソフトウェアが依存するデータは、直接整理できること、2 番目がリスクであること、識別の観点から言えば、国内の CNVD と NVDB、および外国の CVE 脆弱性は脆弱性を完全にカバーし、タイムリーに更新できること、3 番目がリスクに直面していることです。脆弱性が悪用される可能性があること、汚染追跡を実行できること、コードを分類できること、関数呼び出し関係、4 番目に、修復の観点から、安全な SDK を統合し、コード インキュベーションに RASP テクノロジを使用することを検討できます。OpenSSF Foundation には、さまざまな分野に焦点を当て、さまざまなシナリオに適したテクノロジーを通じて実際的な問題を解決する複数のワーキング グループがあります。
OpenSSF ディレクター、ファーウェイ オープンソース開発ディレクター兼オープンソース セキュリティ リーダー
崔金国
崔金國氏:管理の面では、まず第一に、多くのオープンソース コミュニティには専用のセキュリティ ワーキング グループがありますが、営利企業はより多くの法的責任と顧客を担うために、ソフトウェア オープンソースとセキュリティに関連するモジュール、組織、技術ツールを確立する必要があります。そのため、オープンソースのセキュリティに関連する一連の管理慣行を確立することが重要です。第二に、セキュリティ規制に基づいて、オープンソースソフトウェアのライフサイクル管理を含む、オープンソースソフトウェアのサプライチェーンに対応する管理メカニズムを確立し、その管理の下でより高品質なソフトウェアを開発できるようにする必要があります。フレームワーク。最後に、サポートを提供するには、関連する実行チームと対応するツールが必要です。ツール、人員、および管理仕様があり、一定の規制上の制約の下でのみ、開発者は筋肉を記憶し、コミュニティが安全で高品質のソフトウェアを開発できるようにすることができます。
ZTE OSPO 主要メンバー
リー・シャン
Li Xiang:まず第一に、オープンソース ソフトウェアの使用には一定のリスクが伴います。一般に、企業は、オープンソース ソフトウェアを製品に導入することによって引き起こされるリスクを確実に抑えるために、オープンソース ソフトウェアの使用を管理する関連規則や規制を策定する必要があります。最小化された。次に、依存関係やアップデートの問題については、製品の安定性を維持し、バージョンを比較的妥当な範囲に保つように努めており、通常、このサイクルは 4 年以内です。最後に、製品のセキュリティを確保するために、製品リリース前に SCA スキャンを実行して SBOM を形成し、製品に影響を与える可能性のあるすべての高リスク脆弱性と低リスク脆弱性を管理する必要があります。
Beluga オープンソース シニア コミュニティ マネージャー
曾輝
アンカーの位置決めと迅速な修理
セキュリティの脆弱性を悪用する機会はありません
モデレーター: 高リスクの脆弱性が見つかった場合、それを迅速に特定して修復するにはどうすればよいですか? 業界はどのような情報共有および脆弱性警告プラットフォームを確立できますか?
Wang Zhenxing:高リスクの脆弱性を発見するには、ツールと手作業を組み合わせて使用できます。製品の発売後は、脆弱性ハンティングを使用して高リスクの脆弱性を管理したり、さまざまなツールを使用してトラフィック監視を実行したり、セマンティック構文の人工知能エンジンを通じて既知および未知のリスク ポイントを特定したりできます。同時に、攻撃パッケージと応答パッケージを組み合わせることで、正常に実行された脆弱性を特定し、実際の脆弱性を発見することができます。
現在、工業情報化部の NVDB 脆弱性データベース、国家試験の CNNVD、CNCERT の CNVD があります。しかし、オープンソースの脆弱性を特にターゲットにしたプラットフォームは市場に存在せず、Open Atom Open Source Foundationは、オープンソースソフトウェアの脆弱性を含むプラットフォームとなる、オープンソースの脆弱性をターゲットとしたプロジェクトを準備中である。プラットフォームは業界の現在のギャップを埋めることができます。
崔金國氏:脆弱性はひどいものではないので、十分な注意を払う必要があります。コミュニティにおける安全なコーディング標準の実装を強化し、不規則なコーディングによって引き起こされる脆弱性を減らす必要がある一方で、誰もが脆弱性を見つけたときにできるだけ報告できることを望んでいます。コミュニティは通常、脆弱性報告のメカニズムと規範を確立し、法的かつ準拠した方法でソリューションを提供するための関連する法的要件とガイダンスも備えています。脆弱性の収集については、国内外で対応する脆弱性プラットフォームを構築するとともに、Open Atom Open Source Foundation セキュリティ委員会によるオープンソースの脆弱性情報共有プラットフォームの構築も進めており、どなたでもご体験いただけます。
Li Xiang:脆弱性に関しては、SCA ソフトウェアは既知の脆弱性のみを発見できますが、未知の脆弱性は他のセキュリティ ツールを通じて発見する必要があり、48 時間以内に問題を迅速に解決する能力が必要です。プロジェクトの場合、緊急時に脆弱性を修復し、コミュニティにパッチをタイムリーに提出できるように、重要なオープンソース ソフトウェアを特定し、特定のコード メンテナンス機能を備えている必要があります。
コミュニティを構築し、安全を確保する
開発者が協力する
モデレーター: 古いコンポーネントのレガシー脆弱性が長期間修復されないように、オープンソース コミュニティでセキュリティを維持するための長期的なメカニズムを確立するにはどうすればよいでしょうか? コード監査やバグ報奨金プログラムのようなアプローチは実現可能ですか?
Yang Xuan:中国全体を大きなコミュニティとみなすと、Linux Foundation と Open Atom Open Source Foundation が協力して Consumer Council モデルから学ぶことができるため、オープンソース ソフトウェアの開発者も、それを発見するためのメカニズムを持つことができます。脆弱性を見つけて報告します。また、中国ではオープンソースセキュリティ分野に参加する開発者の数は決して十分とは言えず、開発者の多くは他人がバグを見つけて問題を解決してくれるのを受動的に待っており、セキュリティ研究やソフトウェア修復に積極的に参加する意識や能力が欠けていると思います。 。この状況を改善するために、私はすべての開発者に、オープン ソース セキュリティの構築に積極的に参加するよう呼びかけます。Linux Foundation は、オープン ソース セキュリティの向上を支援するために、いくつかの無料コースを提供しています。どなたでも参加できます。
崔金國氏:オープンソース活動に参加することはチャネルを拡大する良い方法であり、誰もが互いに実務経験を交換し、コミュニティとソフトウェアのセキュリティ管理レベルを共同で向上させることができます。実際的な観点から、オープンソース ソフトウェアを導入する際には体系的なルールに従い、オープンソース ソフトウェアの公式コミュニティからダウンロードまたは引用し、毒されたソフトウェアや汚染されたソフトウェアの導入を避ける必要があります。オープンソースソフトウェアのコンプライアンス管理基準を定めている企業では、一般に開発者はオープンソースソフトウェアを利用する前に申請し、評価を受ける必要がある。また、導入したオープンソースソフトウェアのライフサイクル管理も行う必要があり、定期的に評価・管理する必要があります。同時に、メンテナンスが不足している古いオープンソース ソフトウェアについては終了メカニズムを検討し、製品の安定性とセキュリティを確保するために適時に更新する必要があります。最後に、セキュリティをコストとして考えるのではなく、ユーザー エクスペリエンスとビジネス チャンスの向上につながる品質の不可欠な部分として考える必要があります。
李翔氏:オープンソースコミュニティの仕組みは非常に重要であり、企業やオープンソース財団などの組織がオープンソースソフトウェアの導入に向けた仕様策定や要件更新を行い、オープンソースコミュニティにフィードバックできることを期待しています。オープンソース コミュニティでは、開発者にコンセンサスの形成を強制することが困難であるため、開発者がコミュニティに積極的に参加して貢献し、セキュリティの脆弱性を修正し、他の開発者が同様の事態を避けるためにそれらをコミュニティと共有することを奨励する必要があります。コミュニティの問題を解決し、コミュニティ全体のセキュリティを向上させ、コミュニティの進歩と発展を平準化して促進します。
Wang Zhenxing:長期間修復されていない脆弱性には注意を払う必要があります。階層型保護システムを参照して、セキュリティをさまざまなレベルに分割すると同時に、主要産業で使用されているオープンソース コンポーネントを特定して優先順位を付けることができます。そしてインフラ。上記のスキャン方法に加えて、主要なプロジェクトやソフトウェアに対して公開テスト モードを採用し、社会の強力な攻撃力と防御力を持つ人々に主要なソフトウェアのテストに参加して主要な脆弱性を発見するよう呼びかけることも検討できます。
現時点では、単に報奨金モデルを使用して開発者のモチベーションを高めるだけでは効果はほとんどなく、関心のある開発者は比較的少数です。したがって、一方では精神的な報酬を与えるかどうかを検討することができ、他方では、セキュリティ ベンダーとコミュニティを団結させて、証明書の発行やその他の方法により、より多くのセキュリティ部隊をオープンソース コミュニティに導入することができます。
才能を開花させ、スキルを維持する
調和のとれた安全なオープンソース エコシステムを一緒に構築する
モデレータ: ますますエスカレートするオープンソース セキュリティの課題に直面すると、専門的な人材が不可欠ですが、企業でオープンソース セキュリティの人材を育成するために教師はどのような提案をしますか?
Yang Xuan:オープンソース ソフトウェアのセキュリティにはゲーム プロセスがあり、開発タスクとセキュリティ要件の関係のバランスを取る必要があります。一方で、多くのオープンソース チーム リーダーはタスクを完了するというプレッシャーにさらされており、多くの場合、主にソフトウェア開発の進捗に焦点を当てており、セキュリティ問題は二次的なタスクであると考えられています。一方、企業は、開発チームがセキュリティのニーズを確実に満たすことができるように、完全なシステムとオープンソースのセキュリティ チームを確立する必要があります。同時に、開発者はセキュリティ慣行を完全に理解し、良い習慣を身につけ、筋肉の記憶を形成する必要があります。これにより、将来のセキュリティリスクを大幅に軽減し、オープンソースソフトウェアの安全な開発をより効果的に促進できます。
Wang Zhenxing:オープンソースのセキュリティ人材の育成は、私たちが直面しなければならない課題です。企業は、包括的なスキルと資質を備えた複合人材を自社で育成できます。関連する人材には、次の重要な資質と能力が必要です: 第一に、特定の脆弱性に関する知識を理解し、習得する必要があります。第二に、特定の法律知識とコンプライアンスを理解する必要があります。 、などの要件;第三に、サードパーティのソフトウェアおよびハードウェアを購入するときにセキュリティリスクを制御できるように、市場を理解する必要があります。人材を育成する最善の方法は、さまざまなポジションで経験を積むことであり、ジョブローテーションを通じて、開発者はより多くのビジネスや実践的な機会に触れることができ、総合的なスキルと品質をより向上させることができます。
Cui Jinguo:人材育成に固定された基準はありませんが、オープンソース コミュニティにとって、開発者の関心を高め、開発者が投資するように誘導することは、オープンソース コミュニティの開発において重要な部分です。開発者が特定のコミュニティや分野に興味がある場合、学習や探索に積極的に時間とエネルギーを投資します。オープンソースコミュニティでは、技術交流会に参加したり、記事を書いたりすることで経験や教訓を共有することができ、自身の能力やレベルを向上させるだけでなく、オープンソースコミュニティの発展にも貢献することができます。同時に、友達を作り、人間関係を広げる良い機会でもあります。
Li Xiang:企業内でオープンソースを使用するという観点からは、セキュリティ トレーニング、中堅レベルのセキュリティ人材、およびオープンソース ガバナンスに注意を払う必要があります。まず第一に、開発者が関連する規制に従ってセキュリティ要件を確実に満たすことができるように、セキュリティ トレーニングのためのルール、規制、プロセスを策定する必要があります。第二に、各プロジェクトにはセキュリティを担当するディレクターを置き、そのディレクターが各プロジェクト内のセキュリティを主導する必要があります。企業全体のセキュリティ規則と規制 ガバナンス作業、最後に、オープンソース ガバナンスは製品セキュリティ作業の不可欠な部分です。各プロジェクトには、プロジェクト全体のオープンソース ガバナンス活動に責任を負うフルタイムの副ディレクターが必要です。関連する規則や規制が実施されます。
Yang Xuan: Linux Foundation が提供するクラウド ネイティブ セキュリティ認定は、非常に価値のある証明書です。管理者認定に合格することがセキュリティ認定を取得するための前提条件であり、セキュリティ認定は通常、他の認定よりも高額な費用がかかります。欧米各国でソフトウェアセキュリティ規制の導入が進む中、セキュリティ人材の需要も高まっており、国内大手メーカーがセキュリティ人材の大半を独占しているとはいえ、セキュリティ分野への参入を希望する開発者にとっては、こうした証明書がチャンスとなっている。
イベントでは、参加者が活発に発言し、ゲスト4名とともにそれぞれの分野の安全問題について議論し、専門家が一つ一つ答えていくなど、非常に活発な雰囲気でした。
これに続くオフライン交流会「Open Atomic Developer Workshop」シリーズは定期的に開催され、毎号異なる分野の技術的なトピックを取り上げ、全員と対面でコミュニケーションと学習を行い、コミュニティの声に耳を傾けます。開発者は引き続き注目し、参加することを歓迎します。