7月10日,以“操作系统漏洞治理和安全开发实践”为主题的麒麟软件安全生态联盟2024年第二次工作会议在北京成功举行,网络安全专家、联盟成员单位代表等共计百余人到会,共同就“安全漏洞治理技术、重点行业漏洞治理体系、漏洞数据和应用安全保障”等议题展开深入探讨。
麒麟软件安全生态联盟由工业和信息化部网络安全产业发展中心指导成立,旨在联合打造原创性、引领性的自主操作系统内生安全技术体系和自主创新安全生态。
会上,麒麟软件副总经理李祥凯表示,联盟成立以来在工作机制、标准建设、生态适配、漏洞协同治理和解决方案共建等方面开展了广泛而深入的技术合作并取得丰富成效;联盟汇聚安全伙伴超过120家,基于银河麒麟操作系统的安全开发SDK已经被联盟大部分安全伙伴使用,为20多款漏扫产品定期推送漏洞数据,基于银河麒麟操作系统的安全生态已经初步建立。同时在安全漏洞扫描误报、漏洞应急响应处置联动协同机制等方面,亟待麒麟软件和各安全厂商进一步共同深入协作,以便全面提升安全生态的质量,解决用户的安全担忧。
除此以外,麒麟软件安全研发部总经理杨诏钧介绍了操作系统安全漏洞治理的问题、进展和规划,提出了麒麟软件在发现收集、分析验证、披露和持续监测的漏洞治理生命周期,明确了麒麟软件对漏洞进行分级分类处置的漏洞治理流程以及对于减少漏洞扫描误报的解决方案。他提到,麒麟软件已形成常态化漏洞质量更新机制,下一步将依托漏洞管理平台建设逐步完善漏洞细粒度管控。
会议还面向安全应用开发者介绍了《麒麟软件原生开发方案》。面向多种开发场景,提供kylinSDK、kylin-IDE等开发、部署、测试和运维工具,进行技术服务、开发文档和资源能力支持,帮助开发者更安全高效地进行应用开发、迁移、测试,降低技术门槛,提升开发效率,实现从以往的原生适配到原生开发的跨越式升级。让原生应用能够充分利用平台特性、使用软硬件资源,实现最佳的性能、更高的安全性、更好的稳定性及更好的用户体验。
病毒和恶意代码检测是确保软件商店应用安全的重要环节。为降低用户从麒麟软件商店下载应用软件包使用的安全风险,需要对上架的软件包进行安全检测。江民科技生态合作总监杨修带来操作系统软件商店病毒检测方案分享,方案在存量扫描方面定期更新本地病毒库,自动对本地存量软件包安全扫描;在增量扫描方面,在新增软件包上传时自动扫描,并提供扫描报告。
奇安信科技集团股份有限公司天擎安全防护产品总监梁圣带来《信息系统安全漏洞治理实践》主题报告,他提出,高质量的数据信息是高水平漏洞修复的基础,体系化的网络安全建设是提升漏洞管理效率的前提。在补丁安装时依赖关系复杂,建议操作系统提供更全面的支持,及时获取影响安全产品的操作系统信息。
在主题为“操作系统漏洞治理和安全开发实践”的圆桌对话环节,三六零数字安全科技集团有限公司终端安全部副总经理余滔、杭州安恒信息技术股份有限公司副总裁王瑞、北京北信源软件股份有限公司副总裁杨华、北京中科微澜科技有限公司CEO杨牧天、奇安信科技集团股份有限公司天擎安全防护产品总监梁圣发表了对漏洞治理相关的精彩观点。
操作系统安全生态建设离不开成员单位的支持和积极投入,联盟需要链接更多的安全企业,博采众长、共同投入、共同探索。会上,“漏洞协同优秀合作伙伴”颁奖仪式和新成员单位授牌仪式举行。
2024年以来,麒麟软件积极应对相关网络安全漏洞,定期发布漏洞公告、CVE漏洞补丁和修复建议,及时指导厂商和用户采取恰当的修复策略,最大限度降低安全风险,减轻安全漏洞的影响。
作为中国操作系统核心力量,麒麟软件将继续加强与安全伙伴协作,就规范漏洞数据格式、数据共享机制、漏洞检测和修复判定识别方法等方面展开全面深入合作,共同完善安全漏洞检测、报告和处置机制和标准规范等,加快形成新质生产力,赋能重点行业数字化转型,为确保重要产业链供应链自主创新提供科技支撑。
通讯员 | 张楠、东峰、秦华丽
来 源 | 生态与技术服务中心
审 核 | 市场与政府事务部
