7月10日,以“操作系統漏洞治理和安全開發實踐”為主題的麒麟軟件安全生態聯盟2024年第二次工作會議在北京成功舉行,網絡安全專家、聯盟成員單位代表等共計百余人到會,共同就“安全漏洞治理技術、重點行業漏洞治理體系、漏洞數據和應用安全保障”等議題展開深入探討。
麒麟軟件安全生態聯盟由工業和信息化部網絡安全產業發展中心指導成立,旨在聯合打造原創性、引領性的自主操作系統內生安全技術體系和自主創新安全生態。
會上,麒麟軟件副總經理李祥凱表示,聯盟成立以來在工作機制、標準建設、生態適配、漏洞協同治理和解決方案共建等方面開展了廣泛而深入的技術合作并取得豐富成效;聯盟匯聚安全伙伴超過120家,基于銀河麒麟操作系統的安全開發SDK已經被聯盟大部分安全伙伴使用,為20多款漏掃產品定期推送漏洞數據,基于銀河麒麟操作系統的安全生態已經初步建立。同時在安全漏洞掃描誤報、漏洞應急響應處置聯動協同機制等方面,亟待麒麟軟件和各安全廠商進一步共同深入協作,以便全面提升安全生態的質量,解決用戶的安全擔憂。
除此以外,麒麟軟件安全研發部總經理楊詔鈞介紹了操作系統安全漏洞治理的問題、進展和規劃,提出了麒麟軟件在發現收集、分析驗證、披露和持續監測的漏洞治理生命周期,明確了麒麟軟件對漏洞進行分級分類處置的漏洞治理流程以及對于減少漏洞掃描誤報的解決方案。他提到,麒麟軟件已形成常態化漏洞質量更新機制,下一步將依托漏洞管理平臺建設逐步完善漏洞細粒度管控。
會議還面向安全應用開發者介紹了《麒麟軟件原生開發方案》。面向多種開發場景,提供kylinSDK、kylin-IDE等開發、部署、測試和運維工具,進行技術服務、開發文檔和資源能力支持,幫助開發者更安全高效地進行應用開發、遷移、測試,降低技術門檻,提升開發效率,實現從以往的原生適配到原生開發的跨越式升級。讓原生應用能夠充分利用平臺特性、使用軟硬件資源,實現最佳的性能、更高的安全性、更好的穩定性及更好的用戶體驗。
病毒和惡意代碼檢測是確保軟件商店應用安全的重要環節。為降低用戶從麒麟軟件商店下載應用軟件包使用的安全風險,需要對上架的軟件包進行安全檢測。江民科技生態合作總監楊修帶來操作系統軟件商店病毒檢測方案分享,方案在存量掃描方面定期更新本地病毒庫,自動對本地存量軟件包安全掃描;在增量掃描方面,在新增軟件包上傳時自動掃描,并提供掃描報告。
奇安信科技集團股份有限公司天擎安全防護產品總監梁圣帶來《信息系統安全漏洞治理實踐》主題報告,他提出,高質量的數據信息是高水平漏洞修復的基礎,體系化的網絡安全建設是提升漏洞管理效率的前提。在補丁安裝時依賴關系復雜,建議操作系統提供更全面的支持,及時獲取影響安全產品的操作系統信息。
在主題為“操作系統漏洞治理和安全開發實踐”的圓桌對話環節,三六零數字安全科技集團有限公司終端安全部副總經理余滔、杭州安恒信息技術股份有限公司副總裁王瑞、北京北信源軟件股份有限公司副總裁楊華、北京中科微瀾科技有限公司CEO楊牧天、奇安信科技集團股份有限公司天擎安全防護產品總監梁圣發表了對漏洞治理相關的精彩觀點。
操作系統安全生態建設離不開成員單位的支持和積極投入,聯盟需要鏈接更多的安全企業,博采眾長、共同投入、共同探索。會上,“漏洞協同優秀合作伙伴”頒獎儀式和新成員單位授牌儀式舉行。
2024年以來,麒麟軟件積極應對相關網絡安全漏洞,定期發布漏洞公告、CVE漏洞補丁和修復建議,及時指導廠商和用戶采取恰當的修復策略,最大限度降低安全風險,減輕安全漏洞的影響。
作為中國操作系統核心力量,麒麟軟件將繼續加強與安全伙伴協作,就規范漏洞數據格式、數據共享機制、漏洞檢測和修復判定識別方法等方面展開全面深入合作,共同完善安全漏洞檢測、報告和處置機制和標準規范等,加快形成新質生產力,賦能重點行業數字化轉型,為確保重要產業鏈供應鏈自主創新提供科技支撐。
通訊員 | 張楠、東峰、秦華麗
來 源 | 生態與技術服務中心
審 核 | 市場與政府事務部
