以開源軟件為基礎構建信息系統成為主流趨勢,開源軟件迭代快、安全開發機制欠缺、維護人員不足等現狀,導致全球開源安全事件頻發,威脅著使用者信息安全,也帶來了隱私信息泄露的風險。開源安全風險已成為全球化挑戰,是開源首要關注的風險點。
要降低開源風險,保障開源安全,開源社區必須做好開源安全機制。為此,openKylin(開放麒麟)社區推出了“可控開源”體系,為開源安全保駕護航。 什么是“可控開源”? “可控開源”體系是指在確保開源代碼安全的基礎上,使用戶和開發者能夠安全、持續、穩定的使用開源社區軟件及開源軟件涉及的支持性服務。 “可控開源”的特性 “可控開源”體系從代碼的來源、設計、使用、創新和發展五個重要環節,圍繞代碼流通的全鏈路進行安全管理。 1. 來源可控 對于引入的開源組件,通過合規檢查、安全漏洞掃描、靜態代碼分析、動態代碼分析等技術手段,確保引入openKylin社區的開源組件代碼來源清晰、透明、安全。 2. 設計可控 成立安全委員會,通過建立安全基線、規范開源組件選型、對系統架構可信威脅建模分析等技術手段,保證openKylin社區開源軟件可信受保護、安全可隔離。 3. 使用可控 提供協議一致性檢查工具、漏洞檢測修復和軟件更新等機制,避免openKylin開源軟件使用過程中出現法律和知識產權風險,保障開源軟件運行環境、升級維護的安全。 4. 創新可控 提供降低貢獻者門檻的措施,吸引貢獻者參與,并不斷優化貢獻者參與機制和激勵措施。孵化出UKUI、RISC-V、Virtualization等明星SIG組,已具備軟件核心模塊自主研發、核心模塊替換、定制優化、持續對上游社區的代碼維護貢獻的能力。openKylin開源社區創新能力已達到可控要求。 5. 發展可控 提供自主研發的基礎設施平臺和以技術委員會+SIG組主導版本、關鍵技術路線的機制,有效保障openKylin開源軟件發展演進的安全。 “可控開源”當前進展 目前openKylin“可控開源”安全體系正在積極推進針對開源合規、漏洞應急響應和漏洞管理平臺的建設,面向多場景為社區的安全保駕護航,及時規避可能存在的安全隱患,具體情況如下: 開放麒麟門禁系統:是由Infrastructure SIG組建設的開源合規檢測平臺。平臺涵蓋了開源選型可靠性、穩定性、安全性及開源協議風險性檢測,致力于保障引入的開源組件來源清晰、安全透明。 開放麒麟安全應急響應中心:由SecurityCommittee SIG組建設、廣大社區成員共同貢獻的開源操作系統安全漏洞發布、響應、處理、發布的平臺。平臺涵蓋了上報漏洞的全生命周期管理,致力于拓寬漏洞發現渠道,增強面對未知信息安全風險的能力。 開放麒麟漏洞管理平臺:是SecurityCommittee SIG組為切實履行自身職能,提高漏洞監控與響應修復能力而自主研發的一款漏洞全生命周期監控與管理的服務型平臺。 面對日益嚴峻的開源安全挑戰,openKylin作為國內首個桌面操作系統根社區,積極構建開源安全機制和平臺,讓開發者能安全高效地在openKylin社區上開展研發工作。接下來,openKylin將持續聚焦“可控開源”體系建設,助推國內開源領域邁向安全創新新階段。
