以开源软件为基础构建信息系统成为主流趋势,开源软件迭代快、安全开发机制欠缺、维护人员不足等现状,导致全球开源安全事件频发,威胁着使用者信息安全,也带来了隐私信息泄露的风险。开源安全风险已成为全球化挑战,是开源首要关注的风险点。
要降低开源风险,保障开源安全,开源社区必须做好开源安全机制。为此,openKylin(开放麒麟)社区推出了“可控开源”体系,为开源安全保驾护航。 什么是“可控开源”? “可控开源”体系是指在确保开源代码安全的基础上,使用户和开发者能够安全、持续、稳定的使用开源社区软件及开源软件涉及的支持性服务。 “可控开源”的特性 “可控开源”体系从代码的来源、设计、使用、创新和发展五个重要环节,围绕代码流通的全链路进行安全管理。 1. 来源可控 对于引入的开源组件,通过合规检查、安全漏洞扫描、静态代码分析、动态代码分析等技术手段,确保引入openKylin社区的开源组件代码来源清晰、透明、安全。 2. 设计可控 成立安全委员会,通过建立安全基线、规范开源组件选型、对系统架构可信威胁建模分析等技术手段,保证openKylin社区开源软件可信受保护、安全可隔离。 3. 使用可控 提供协议一致性检查工具、漏洞检测修复和软件更新等机制,避免openKylin开源软件使用过程中出现法律和知识产权风险,保障开源软件运行环境、升级维护的安全。 4. 创新可控 提供降低贡献者门槛的措施,吸引贡献者参与,并不断优化贡献者参与机制和激励措施。孵化出UKUI、RISC-V、Virtualization等明星SIG组,已具备软件核心模块自主研发、核心模块替换、定制优化、持续对上游社区的代码维护贡献的能力。openKylin开源社区创新能力已达到可控要求。 5. 发展可控 提供自主研发的基础设施平台和以技术委员会+SIG组主导版本、关键技术路线的机制,有效保障openKylin开源软件发展演进的安全。 “可控开源”当前进展 目前openKylin“可控开源”安全体系正在积极推进针对开源合规、漏洞应急响应和漏洞管理平台的建设,面向多场景为社区的安全保驾护航,及时规避可能存在的安全隐患,具体情况如下: 开放麒麟门禁系统:是由Infrastructure SIG组建设的开源合规检测平台。平台涵盖了开源选型可靠性、稳定性、安全性及开源协议风险性检测,致力于保障引入的开源组件来源清晰、安全透明。 开放麒麟安全应急响应中心:由SecurityCommittee SIG组建设、广大社区成员共同贡献的开源操作系统安全漏洞发布、响应、处理、发布的平台。平台涵盖了上报漏洞的全生命周期管理,致力于拓宽漏洞发现渠道,增强面对未知信息安全风险的能力。 开放麒麟漏洞管理平台:是SecurityCommittee SIG组为切实履行自身职能,提高漏洞监控与响应修复能力而自主研发的一款漏洞全生命周期监控与管理的服务型平台。 面对日益严峻的开源安全挑战,openKylin作为国内首个桌面操作系统根社区,积极构建开源安全机制和平台,让开发者能安全高效地在openKylin社区上开展研发工作。接下来,openKylin将持续聚焦“可控开源”体系建设,助推国内开源领域迈向安全创新新阶段。