2022年11月7日（周一），OpenSSF開源安全基金會 攜手中國信息通信研究院和開源科技OSTech，借助IOSF國際開源節，在深圳成功舉辦了?“OpenSSF開源安全中國峰會”。雖然疫情反復無常，行業專家對開源安全的熱情不減，十多位大咖線上線下分享了他們在開源軟件供應鏈安全的真知灼見、聚焦開源產業發展現狀與趨勢，研討企業如何應對開源軟件供應鏈安全問題、探討開源面臨的新環境，開源軟件供應鏈安全如何在企業落地、共同保障開源供應鏈安全等，全日峰會有高達40萬人次通過線上直播收看
?

開源軟件安全基金會(OpenSSF)總經理Brian Behlendorf 在大會發表幕式致辭，探討《如何保證軟件供應鏈上游安全，解決導致Log4Shell軟件供應鏈中的系統性問題》， 介紹了開源安全基金會如何幫助國際開源軟件安全社區、通過教育建設中國社區、賦能中國開發人員成為開源軟件安全的貢獻者、推動整個開源軟件和其他領域的系統性變革。

?

?

?

接下來是來自中國信息通信研究院的高級工程師張俊霞分享了《開源面臨的新環境》議題。隨著“軟件定義世界”這一進程的快速推進，開源軟件也滲入到工業生產各個領域和環節。由于開源特有的協作模式與使用方式，在傳統軟件安全問題基礎上，又帶來了治理分散化、影響廣泛化和依賴復雜化等問題。同時，開源開源軟件許可協議引發的訴訟和技術管制等問題也影響著開源軟件供應鏈安全。因此，企業應加強對開源治理的重視，深入了解開源規則，并積極參與開源。

然后，安勢信息資深解決方案架構師朱賢曼分享了《企業如何應對開源軟件供應鏈安全問題》議題。在全球開源軟件蓬勃發展的大背景下，很少有企業/組織不使用開源軟件，且開源組件的使用占比非常高。但近年來頻繁爆發的開源軟件供應鏈安全事件，使企業/組織意識到開源軟件的使用帶來的巨大風險。如何保障開源軟件供應鏈安全是一個系統工程，需要開源生態中的各方一起協作努力。

中興通訊無線開源總監張曉波在主題演講《開源軟件供應鏈安全如何在ZTE落地》介紹中興通訊經過多年的實踐，分享是如何確保開源軟件供應鏈安全在ZTE公司內高效的落地。?

圓桌論壇

《開源供應鏈安全》

開源是建立在信任之上的共同創新，Linux 基金會成立OpenSSF開源安全基金會的主要目的就是為這份來之不易的信任提供全面的安全保障！根據多份最新開源審計報告顯示，97%的商業軟件含有開源代碼，而且開源代碼含量高達90%以上，其中最少81%的軟件發現漏洞，超過50%有軟件許可證沖突，平均每個商業軟件使用的開源組件超過300個，78%的受檢代碼庫至少包含一個漏洞，每個代碼庫平均有64個漏洞。

中國信息通信研究院高級工程師張俊霞、華為技術有限公司開源發展總監崔錦國、OpenSSF 中國工作組副組長、極狐(GitLab) DevOps 布道師馬景賀、數澈軟件SEAL聯合創始人江鵬、奇科厚德副總經理、LFAPAC開源軟件布道師龍文選在高峰圓桌論壇上就《開源供應鏈安全》話題進行了熱烈而深入的討論，嘉賓們分別介紹了發生在自己身邊的和了解到的軟件安全時間，從而開啟了討論的話題，探討話題包括為什么我們現在需要緊急關注開源軟件供應鏈安全、現在需要關注的關鍵領域和應對步驟是什么，如何從臨時性安全轉向系統化、有效地解決開源軟件安全，在未來1-2年內中國的開源安全領域會發生什么，需要發生什么，我們需要避免哪些陷阱，需要抓住哪些機會等。嘉賓們一致認為當前的供應鏈安全問題還很嚴峻，需要政府、企業、開發者的共同努力，特別是軟件開發企業，需要有系統的、全方位的解決供應鏈安全的思路、策略、方法和流程，各位嘉賓對此也提出了自身應對開源供應鏈安全挑戰的建議。加入OpenSSF可以幫助大家開拓思路、群策群力共同應對當前的問題，并且認為經過未來幾年的努力，我們的軟件供應鏈將有較大的提升。

下午場的內容同樣豐富，由Linux基金會開源供應鏈安全總監 David A. Wheeler博士展開，David是開發安全軟件和開源軟件（OSS）開發方面的專家，他在演講介紹了 OpenSSF開源安全基金會的最佳實踐工作組， 包括評估開源軟件的簡明指南、開發安全軟件的簡明指南、安全軟件開發基礎知識課程、OpenSSF最佳實踐徽章以及OpenSSF Security Scorecards。

?

?

?

Scantist聯合創始人、新加坡南洋理工大學（NTU）計算機學院劉楊教授發表《開源安全：挑戰、解決方案和機遇》演講，討論軟件供應鏈的嚴峻形勢、面臨的威脅及其存在的脆弱性，保護 OSS環境的挑戰， 同時展示在保護開源供應鏈安全方面的努力和解決方案包括：軟件組件分析（SCA）、 OSS供應鏈分析、許可證相關的風險管理、基于人工智能的安全漏洞分析等方面的技術，重點列舉有關開源安全的潛在機遇，進一步研究延續相關領域的探索。

華為技術有限公司開源發展總監崔錦國發表了《開源供應鏈安全風險防范的心行踐諾》的演講，內容總結：開源軟件的安全發展，需要系統性的思考。因為風險隨時可能發生，我們需要深入國際市場逐步讓開源成為有效手段。并且構建立足中國、面向世界的開源供應鏈管理體系；建立開源安全標準體系，覆蓋開源治理關鍵要素；建設符合安全治理要求、提升治理效率的工程能力及工具鏈；將“安全可靠，合法使用” 作為引入開源軟件的核心；堅持“解決問題，創造價值”的開源理念，貢獻開源。新形勢下開源意識亟需轉變，開源需要眾智、生態、共享。?

匯豐科技證券技術服務部門DevSecOps負責人周紀海在主題演講《DevSecOps在大型銀行的體系建設和落地實踐》分享包含了DevSecOps的簡介、現狀、實現DevSecOps的挑戰、 DevSecOps常用的工具，結合在銀行的案例詳細講解如何建立DevSecOps體系，以及如何落地DevSecOps。

OpenSSF 中國工作組副組長、極狐(GitLab) DevOps 布道師馬景賀分享了《開源軟件供應鏈安全的背后邏輯與應對之道》的演講，重點講述使用開源軟件的企業/組織如何應對開源軟件供應鏈安全問題，如何增強安全合規風險管控和安全態勢感知能力。

數澈軟件聯合創始人江鵬在演講議題《從代碼到部署-云原生時代的開源軟件供應鏈安全》分享探討如何結合DevOps流水線各階段進行軟件系統的構成分析，結合各階段的SBOM信息對構成應用系統的軟件供應鏈的變化進行追蹤、關聯、控制，以全局視角提升開源軟件供應鏈的可見性及安全性。

新思科技開源治理專家王永雷主題演講《基于OpenSSF Scorecards構建安全可信的開源軟件》-開源安全越來越引起全球政府和組織機構的重視，Linux基金會的OpenSSF Scorecard項目，通過對開源項目制定安全標準，并針對這些標準進行檢查和打分，自動生成安全的指數來幫助使用者針對使用的開源的組件做出開源風險的決策，那么如何從源頭來提升開源軟件的安全性，如何幫助開源組件的開發者和社區提升開源軟件的安全性，構建安全可信的開源軟件軟件和生態是我們今天想分享的內容。

奇科厚德副總經理、LF APAC開源軟件布道師龍文選發表《試論如何用開源技術做好信創》演講。?信創即是指“信息技術應用創新”，包含硬件和軟件兩個方面。做信創軟件，離不開開源軟件，因此我們應該以比過去更加開放的態度，擁抱開源，參與全球軟件供應鏈生態，把開源作為我國與全球先進軟件技術連接的橋梁。演講者首先介紹了信創的起源和全球軟件業對開源使用的現狀，接著分析了利用開源打破軟件供應鏈斷供的可能性，最后為中國利用開源做信創軟件產業提出了建議。

水木羽林CTO白易元在《運用模糊測試保障開源軟件供應鏈安全》演講中介紹模糊測試技術特點，其在LF、OpenSSF、CNCF等組織中保護開源軟件供應鏈安全的現狀與貢獻，及應用推廣的挑戰與方案。

全日峰會有高達40萬人次通過線上直播收看 ，許多開源安全同仁、開發者在峰會結束后直呼意猶未盡，大家都期待了解、參與更多開源安全相關的活動。OpenSSF將承載著大家的期望繼續進步，帶來更多精彩的活動，也希望越來越多的開源安全同仁、開發者加入OpenSSF開源安全這個充滿活力的社區。感謝各位的陪伴與支持！

關于 開源科技OSTech
?

深圳市開源科技咨詢有限公司（簡稱：OSTech）具備成熟的互聯網企業市場拓展、開發者社區運營托管服務以及開源生態合作成長體系。OSTech擁有兼具戰略理念與實戰經驗的創意團隊，高效靈活的執行團隊，規范成熟的項目管控機制，提供從早期策劃、設計到執行環環相扣的全方位運營服務，力求帶給客戶最專業、前沿和實效的服務。

審核編輯 黃昊宇?