建立“可控開源”體系����,openKylin聚焦開源根社區(qū)安全發(fā)展�!
發(fā)布時(shí)間:2022-10-14 瀏覽次數(shù):3381次 作者:麒麟軟件
以開源軟件為基礎(chǔ)構(gòu)建信息系統(tǒng)成為主流趨勢,開源軟件迭代快�����、安全開發(fā)機(jī)制欠缺�����、維護(hù)人員不足等現(xiàn)狀����,導(dǎo)致全球開源安全事件頻發(fā),威脅著使用者信息安全���,也帶來了隱私信息泄露的風(fēng)險(xiǎn)���。開源安全風(fēng)險(xiǎn)已成為全球化挑戰(zhàn)��,是開源首要關(guān)注的風(fēng)險(xiǎn)點(diǎn)�����。
要降低開源風(fēng)險(xiǎn),保障開源安全���,開源社區(qū)必須做好開源安全機(jī)制����。為此����,openKylin(開放麒麟)社區(qū)推出了“可控開源”體系,為開源安全保駕護(hù)航�����。
“可控開源”體系是指在確保開源代碼安全的基礎(chǔ)上���,使用戶和開發(fā)者能夠安全���、持續(xù)、穩(wěn)定的使用開源社區(qū)軟件及開源軟件涉及的支持性服務(wù)�����。
“可控開源”體系從代碼的來源�����、設(shè)計(jì)����、使用、創(chuàng)新和發(fā)展五個重要環(huán)節(jié)��,圍繞代碼流通的全鏈路進(jìn)行安全管理�����。
對于引入的開源組件����,通過合規(guī)檢查、安全漏洞掃描、靜態(tài)代碼分析��、動態(tài)代碼分析等技術(shù)手段��,確保引入openKylin社區(qū)的開源組件代碼來源清晰��、透明�����、安全���。
成立安全委員會,通過建立安全基線��、規(guī)范開源組件選型��、對系統(tǒng)架構(gòu)可信威脅建模分析等技術(shù)手段��,保證openKylin社區(qū)開源軟件可信受保護(hù)�����、安全可隔離���。
提供協(xié)議一致性檢查工具�����、漏洞檢測修復(fù)和軟件更新等機(jī)制���,避免openKylin開源軟件使用過程中出現(xiàn)法律和知識產(chǎn)權(quán)風(fēng)險(xiǎn)��,保障開源軟件運(yùn)行環(huán)境���、升級維護(hù)的安全。
提供降低貢獻(xiàn)者門檻的措施�����,吸引貢獻(xiàn)者參與�����,并不斷優(yōu)化貢獻(xiàn)者參與機(jī)制和激勵措施�。孵化出UKUI、RISC-V�����、Virtualization等明星SIG組,已具備軟件核心模塊自主研發(fā)��、核心模塊替換����、定制優(yōu)化、持續(xù)對上游社區(qū)的代碼維護(hù)貢獻(xiàn)的能力����。openKylin開源社區(qū)創(chuàng)新能力已達(dá)到可控要求。
提供自主研發(fā)的基礎(chǔ)設(shè)施平臺和以技術(shù)委員會+SIG組主導(dǎo)版本����、關(guān)鍵技術(shù)路線的機(jī)制,有效保障openKylin開源軟件發(fā)展演進(jìn)的安全�����。
目前openKylin“可控開源”安全體系正在積極推進(jìn)針對開源合規(guī)�、漏洞應(yīng)急響應(yīng)和漏洞管理平臺的建設(shè)���,面向多場景為社區(qū)的安全保駕護(hù)航�,及時(shí)規(guī)避可能存在的安全隱患�,具體情況如下:
開放麒麟門禁系統(tǒng):是由Infrastructure SIG組建設(shè)的開源合規(guī)檢測平臺。平臺涵蓋了開源選型可靠性、穩(wěn)定性��、安全性及開源協(xié)議風(fēng)險(xiǎn)性檢測�,致力于保障引入的開源組件來源清晰、安全透明��。
開放麒麟安全應(yīng)急響應(yīng)中心:由SecurityCommittee SIG組建設(shè)���、廣大社區(qū)成員共同貢獻(xiàn)的開源操作系統(tǒng)安全漏洞發(fā)布���、響應(yīng)、處理��、發(fā)布的平臺��。平臺涵蓋了上報(bào)漏洞的全生命周期管理��,致力于拓寬漏洞發(fā)現(xiàn)渠道����,增強(qiáng)面對未知信息安全風(fēng)險(xiǎn)的能力。
開放麒麟漏洞管理平臺:是SecurityCommittee SIG組為切實(shí)履行自身職能�����,提高漏洞監(jiān)控與響應(yīng)修復(fù)能力而自主研發(fā)的一款漏洞全生命周期監(jiān)控與管理的服務(wù)型平臺。
面對日益嚴(yán)峻的開源安全挑戰(zhàn)�,openKylin作為國內(nèi)首個桌面操作系統(tǒng)根社區(qū),積極構(gòu)建開源安全機(jī)制和平臺�����,讓開發(fā)者能安全高效地在openKylin社區(qū)上開展研發(fā)工作�。接下來,openKylin將持續(xù)聚焦“可控開源”體系建設(shè)���,助推國內(nèi)開源領(lǐng)域邁向安全創(chuàng)新新階段��。
