GOTC 2023 “開源安全” 專題論壇議程曝光

開源軟件在數據中心、消費者設備和應用程序中無處不在。使用開源代碼已經成為軟件開發(fā)的新常態(tài)，統計顯示，一個軟件平均有 90% 的代碼源自開源，保證開源供應鏈安全已經遠超出了一般開發(fā)者的能力。開源安全需要業(yè)界共同聯手，為行業(yè)打造自動化工具、總結最佳實踐、推動安全教育和鼓勵開源安全協作。

5 月 28 日，GOTC 2023 “開源安全” 專題論壇將于上海張江科學會堂舉行。該論壇由 Linux 基金會亞太區(qū)副總裁楊軒擔任出品人。在本論壇，來自全球的開源安全專家和用戶將分享他們的見解和經驗。 GOTC 2023 報名通道現已開啟： https://www.bagevent.com/event/8387611 。

全球開源技術峰會(Global Open-source Technology Conference，簡稱 GOTC)是由開放原子開源基金會、 Linux 基金會亞太區(qū)、上海浦東軟件園和開源中國聯合發(fā)起的，面向全球開發(fā)者的一場盛大開源技術盛宴。GOTC 2023 為期兩天，將以行業(yè)展覽、主題發(fā)言、特別論壇、分論壇的形式展現，與會者將一起探討元宇宙、3D 與游戲、eBPF、Web3.0、區(qū)塊鏈等熱門技術主題，以及開源社區(qū)、AIGC、汽車軟件、AI 編程、開源教育培訓、云原生等熱門話題，探討開源未來，助力開源發(fā)展。 大會官網： https://gotc.oschina.net/

“ 開源安全” 專題論壇亮點：

企業(yè)級開源供應鏈安全解決方案

開源風險管理實踐

從開源文化到開源安全

開源軟件供應鏈安全的挑戰(zhàn)與實踐

出品人：楊軒

Linux 基金會亞太區(qū)副總裁，擁有超過 20 年軟件行業(yè)經驗，曾在 Saba、Sumtotal、Computer Associates 等大型國際軟件公司擔任高級管理職務。擁有豐富的企業(yè)級軟件應用和開發(fā)經驗，以及軟件開源和數字化轉型實踐經驗。

議題：Welcome and Introduction

嘉賓：楊軒 | Linux 基金會亞太區(qū)副總裁

演講時間：13:30-13:40

議題：Keynote

嘉賓：Brian Behlendorf | OpenSSF 總經理

演講時間：13:40-14:00

議題：基于網絡彈性法案的企業(yè)級開源供應鏈安全解決方案

嘉賓：王永雷 | 新思科技資深軟件安全架構師

演講時間：14:00-14:20

議題簡介：由于開源組件的廣泛使用，由于開源組件的漏洞和代碼本身的質量問題導致的網絡安全攻擊事件和數據泄漏事件頻發(fā)，使得開源供應鏈的安全信任產生危機，各個國家和地區(qū)都推出了法規(guī)和條款來提升開源供應鏈的安全，提高數字產品的安全性，本次議題探討基于網絡彈性法案的企業(yè)級開源供應鏈安全解決方案 。

議題：Sigstore 助力開源軟件供應鏈安全框架 SLSA 的落地實踐

嘉賓：馬景賀 | OpenSSF 中國工作組副組長、LFAPAC 開源布道師

演講時間：14:20-14:40

議題：基于 SBOM 的開源風險管理實踐

嘉賓：朱賢曼 | 安勢信息資深解決方案架構總監(jiān)

演講時間：14:40-15:00

議題簡介：(1)使用開源軟件面臨的挑戰(zhàn)概述;開源風險管理的基石 ——SBOM;(2)讓可靠合適的軟件進入 SBOM—— 開源軟件選型;(3)如何將開源治理融入到企業(yè)現有開發(fā)與交付流程中(SBOM 的生成，更新、流轉和存檔);(4)企業(yè)開源風險管理的數字化和自動化(基于 SBOM 的自動跟蹤和問題處理);(5)除 SBOM 之外，企業(yè)還需要建設其他什么樣的能力來提高開源治理水平。

議題：防微杜漸，構筑企業(yè)開源安全防御體系

嘉賓：崔錦國 | 華為開源產業(yè)發(fā)展總監(jiān);王智 | 華為開源安全咨詢獨立顧問

演講時間：15:00-15:20

議題簡介：當前開源發(fā)展蓬勃，也帶來了軟件供應鏈安全威脅，華為在擁抱開源基礎上，也積極投入資源進行開源安全工具及治理，本次議題有以下部分：(1)業(yè)界軟件供應鏈安全發(fā)展趨勢和實踐洞察;(2)華為針對軟件供應鏈安全的分析和實踐，包括基于 SBOM 的實踐(CI/CD 構建自動生成，合規(guī)和漏洞分析等)分享，及其他安全防護措施;(3)未來對于開源安全的一些建議。

議題：從亞馬遜獨特文化看開源安全

嘉賓：鄭予彬 | 亞馬遜云科技資深開發(fā)者布道師

演講時間：15:20-15:40

議題簡介：安全對于亞馬遜來說，任何時刻都是首要任務和行動準則。安全文化對亞馬遜與開源的互動方式產生著深遠的影響。我們希望通過對開源項目 Firecracker 的設計初衷，功能實現的經驗進行深入探討以及分享亞馬遜云科技在開源項目中選擇 Rust 并廣泛使用的最佳實踐，讓構建者們更多的了解亞馬遜對于開源安全各個維度和細節(jié)的追求和實現。

議題：用 SBOM 提升軟件供應鏈安全

嘉賓：龍文選 | 奇科厚德副總經理、LFAPAC 開源布道者

演講時間：15:40-16:00

議題簡介：本演講將介紹 SBOM 的背景，全球推進 SBOM 的狀態(tài)和發(fā)展方向，以及打造 SBOM 的方法、標準，以及如何利用 SBOM 提升軟件供應鏈安全。 SBOM 又叫軟件成分清單，可以向軟件使用者揭示軟件的組成成分。隨著軟件技術的發(fā)展，混源開發(fā)模式成為主流，90% 以上的系統軟件和應用軟件包含開源代碼。一方面，我國的信創(chuàng)產業(yè)從操作系統到數據庫到上層應用，都離不開開源軟件;另一方面，開源軟件極大促進了開源生態(tài)的發(fā)展，為我國的信創(chuàng)供應鏈提供了良好的基礎，我國也已經成為全球第二大開源軟件的貢獻國，成為了重要的開源力量。 但是，開源代碼的安全性和合規(guī)性問題隨著開源的普及也日漸凸顯，要保證軟件供應鏈安全，業(yè)界正在推動 SBOM 在行業(yè)內的應用。美歐出臺了相關法案，歐洲也在跟進，我國也在制定相應的標準。 分析 SBOM 主流方法有代碼片段分析和依賴關系分析的方法，能夠通過這樣的技術手段，分析出 SBOM，進而分析軟件的許可證清單和軟件漏洞清單。用戶可以通過 SBOM 和這兩個清單，了解代碼的合規(guī)性和安全隱患，從而采用技術手段化解隱患，讓軟件的供應鏈更加安全。

議題：生產環(huán)境下多工作負載安全建設實踐

嘉賓：陳越 | Elkeid 項目負責人、字節(jié)跳動主機安全負責人

演講時間：16:00-16:20

議題簡介：企業(yè)生產環(huán)境工作負載隨著傳統的物理、虛擬機到后來的容器、容器集群的演變，其安全風險也隨之變化，本次演講將結合生產環(huán)境中的經驗，與大家分享多工作負載下的安全困境以及對應措施。

議題：基于代碼疫苗技術的開源軟件供應鏈安全治理

嘉賓：董毅 | 懸鏡安全 COO

演講時間：16:20-16:40

議題簡介：混源開發(fā)及敏捷交付背景下，開源軟件成為了軟件供應鏈的重要組成部分，其安全性也成為軟件供應鏈安全治理的關鍵環(huán)節(jié)。對于已知開源風險，使用 SCA 工具可以對軟件及應用涉及的第三方組件進行全面的資產盤點，同時了解相關組件引入的開源漏洞，便于洞察及監(jiān)控開源風險。

當新的安全漏洞爆發(fā)，官方尚無新版本組件可替換時，RASP 技術可以通過下發(fā)熱補丁的方式在不修改源碼的情況下對攻擊和惡意請求進行識別和阻斷，實現對未知開源風險的及時治理，為漏洞修復爭取時間。

通過 SCA 與 RASP 的結合，可以涵蓋已知漏洞和未知漏洞的場景，進而實現開源軟件供應鏈安全治理從開發(fā)到運營的閉環(huán)，為企業(yè)及個人開發(fā)者的代碼安全賦能。"

議題：開源軟件供應鏈安全的挑戰(zhàn)與實踐

嘉賓：王宇 | 思探明中國區(qū)(Scantist China)產品專家

演講時間：16:40-17:00

議題簡介：在當下網絡安全形勢日益嚴峻，網絡攻擊威脅籠罩全球的情況下，企業(yè)數字化的加速推進需要進行整體規(guī)劃，王宇先生將結合以下內容的介紹和概括，深入淺出地講解軟件供應鏈風險引入途徑和開源軟件供應鏈的治理重點，有干貨、有實操、有引領，全方位為企業(yè)賦能、賦智。

演講將涉及以下重點：傳統軟件供應鏈 vs 開源軟件供應鏈;軟件供應鏈安全事件深度分析及解讀;開源漏洞的影響和危害;軟件供應鏈構成與安全風險引入方式;技術視角下的開源安全挑戰(zhàn);軟件供應鏈安全的關鍵問題與 OSS 治理;多應用場景的 SCA 工具;可信開源管理及運維。

17:00-17:10 結束 / 交流時間

GOTC 2023 報名通道現已開啟，誠邀全球各技術領域開源愛好者共襄盛舉!

參會報名，請訪問： https://www.bagevent.com/event/8387611

進入官網了解更多信息，請訪問： https://gotc.oschina.net