供应链安全合作计划
背景&目标
软件供应链是指在软件开发和交付过程中,涉及的所有组件、工具、服务和供应商的集合。它包括从源代码的编写、版本控制、构建和测试,到最终产品的部署和维护的整个生命周期。软件供应链安全是指保护软件开发和交付过程中涉及的所有环节、工具和组件的安全性,确保软件在从开发到部署的整个生命周期中不受恶意攻击、篡改或其他安全威胁。开源理念日益被研发人员所接受,开源软件已经在日常研发中被常态化使用。加上云原生和devops等理念被越来越多的开发者所接受和实践,进一步增加了软件的复杂性。然而,开源软件自身潜在的安全问题也日益严重。根据研究发现,目前众多的开源软件中,有相当一部分开源软件本身有未解决的安全风险。根据新思科(Synopsys)发布的2024年开源安全和风险分析报告,84%的开源代码库至少存在一个开源漏洞。在当前的软件研发过程中,一个软件往往会依赖几十甚至成百上千个开源的组件。一旦开发者不小心使用了带有安全漏洞的开源组件来构建自身的软件,就会给自身软件的安全性带来极大的风险。
软件供应链安全逐渐上升为国家层面的安全战略。面向核心基础软件的《安全可靠测评》、政府采购标准、《网络安全基础 软件供应链安全要求》、《网络安全技术 软件物料清单数据格式》等国标的制定和推行,都对软件供应链安全提出了更高的要求。操作系统作为关键基础软件之一,其软件供应链安全能力建设更是重中之重,一旦操作系统存在安全风险,其影响面将是巨大的。
软件供应链安全能力的建设是龙蜥社区、下游衍生版厂商等的共同诉求。同时安全联盟也有众多的安全厂商的加入,安全厂商有技术、有能力为操作系统提供安全能力。
为了互通有无,建立良好的沟通合作平台,龙蜥社区依托社区安全联盟,发起了软件供应链安全合作计划,旨在提升
龙蜥社区软件供应链安全水位,满足下游衍生版安全合规诉求,为联盟企业带来合作共赢机会。
合作介绍
龙蜥社区通过向下构建龙蜥软件供应链安全基础设施,向上建设管理平台支撑日常软件供应链安全管理需求,已经初步建立起龙蜥社区软件供应链安全体系框架,龙蜥软件安全研发流程初具雏形。社区目前需要更多的安全能力,对开源引入、研发、测试、发布等环节进行安全增强,进一步提升社区研发和社区制品的安全水位。
龙蜥软件制品中心 (Package Center): https://package.openanolis.cn/
龙蜥软件供应链风险管理平台(OSCM):https://oscm.openanolis.cn/
龙蜥漏洞管理平台(CVE Center):https://cvecenter.openanolis.cn/
龙蜥软件制品中心 (Package Center): https://package.openanolis.cn/
龙蜥软件供应链风险管理平台(OSCM):https://oscm.openanolis.cn/
龙蜥漏洞管理平台(CVE Center):https://cvecenter.openanolis.cn/
软件供应链安全合作计划拟通过1个工作组+N个重点项目的方式推进:
1. 依托龙蜥安全联盟,建立安全联盟软件供应链安全合作计划工作组。工作组作为主要沟通平台,采用包括但不限于专题讨论、企业/高校拜访、访谈等方式,拉通联盟单位、社区单位、高校、下游用户等角色,在软件供应链安全系分方向形成共识和初步合作意向。在目标明确后,以2中的重点项目推进;
2. 建立重点项目机制。以重点项目的方式,拉通社区、下游衍生版、安全厂商、高校等,形成实质性的合作,最终以包括但不限于安全能力共建(工具、平台等)、最佳实践、学术合作、商业合作等方式形成落地成果,并依托龙蜥社区进行宣传,扩大影响力。
1. 依托龙蜥安全联盟,建立安全联盟软件供应链安全合作计划工作组。工作组作为主要沟通平台,采用包括但不限于专题讨论、企业/高校拜访、访谈等方式,拉通联盟单位、社区单位、高校、下游用户等角色,在软件供应链安全系分方向形成共识和初步合作意向。在目标明确后,以2中的重点项目推进;
2. 建立重点项目机制。以重点项目的方式,拉通社区、下游衍生版、安全厂商、高校等,形成实质性的合作,最终以包括但不限于安全能力共建(工具、平台等)、最佳实践、学术合作、商业合作等方式形成落地成果,并依托龙蜥社区进行宣传,扩大影响力。
安全硬件生态
中兴通讯、阿里云、中科方德软件有限公司、浪潮电子信息产业股份有限公司、上海安势信息技术有限公司
加入合作计划
欢迎OS厂商、安全厂商、高校等参与计划,本合作采取工作组运作方式,对于希望长期合作的企业,也欢迎提交申请加入龙蜥社区安全联盟,一起在社区构建国产操作系统的软件供应链安全生态。加入流程
浙公网安备 33011002016143号