9月26日,2024开放原子开源生态大会的安全与密码产业实践分论坛在北京成功举办。新技术的广泛运用使数据安全、业务安全、隐私安全等高价值资产对密码安全保障工作提出了诸多新挑战。本论坛汇集了信息安全、数据安全和密码学领域的开源专家及从业者,对供应链安全与密码保护进行前沿观点的分享与探讨。
论坛出品人由中国科学院软件研究所副所长兼总工程师武延军、蚂蚁集团高级技术专家&铜锁项目PMC主席杨洋担任。
武延军在论坛致辞中提到,今天大家的相聚是因为都肩负着开源时代的责任,开源到底可不可用很大程度上取决于安全做得好不好。开源技术是推动创新的重要力量,安全性和可靠性关系到数字世界的未来。2022年10月份,开源安全委员会在开放原子开源基金旗下成立,两年间开源安全委员会组织了近50家国内头部企业和知名研究机构共同开展开源安全相关的标准规范、共性技术、实用工具、平台基础设施等一系列研发工作。开源安全委员会致力于推动构建更加安全更加可靠的数字环境,将更好地为基金会开源项目甚至全世界的开源项目保驾护航。
寰宇信任CTO郑黎方为现场观众分享了《互联网音视频数字版权保护》主题内容。版权保护对于促进创新、保护创作者的合法权益、维护知识产权的正当交换和使用等极为重要,数字版权管理(DRM)在数字内容产业中的重要性不言而喻。
郑黎方介绍,经过近20年的发展,DRM技术已接近平台化和标准化,在安全层面,DRM的TEE和安全视频通路这两个核心技术已非常成熟。DRM技术与终端系统强依赖,全球DRM呈现出了“3+1”的格局,即微软、谷歌、苹果三大操作系统,以及ChinaDRM绑定的鸿蒙系统。ChinaDRM(中国广播影视数字版权管理论坛)是在国家广电总局的大力支持下,由广播影视产、学、研、用各方共同成立的共商数字版权管理平台,多年发展之下,已在技术标准、安全评估和研发支撑等各个方面达到国际领先水平。经统计,目前有310万TV、2.4亿手机终端、105万机顶盒等终端集成了商业化的ChinaDRM。在安全保障方面,ChinaDRM Lab提供的安全评估服务也已得到了好莱坞等国际主流内容商的认可。
安势信息产品架构总监朱贤曼分享了《何提高软件供应链韧性和安全水平》主题内容。她表示,软件供应链面临的主要三大传统风险为断供风险、安全风险和合规风险。从ChatGPT出世之后,AI供应链从数据供给到模型的开发和定制、内容的输出与分发,各个环节都面临着新的挑战。各国及国际组织已针对AI制定了相关法律法规,全国网络安全标准化技术委员会发布了《生成式人工智能服务安全基本要求(TC260-003)》,国家网信办等七部门公布了《生成式人工智能服务管理暂行办法》,中美对待AI的态度是既要管理,但同时也要不限制其创新和应用。
朱贤曼
豪符密码产品检测总监、密码行业标准化技术委员会工作组成员饶金涛结合检测实践,从密码产品体系、商密产品认证检测流程、密码模块安全技术要求标准以及软件密码模块检测四个方面阐述如何解决密码产品的合规问题。经过六年的发展,商用密码产品认证检测的认证制度、认证目录、认证细则和实施程序都已比较完善和标准化;GM/T0028《密码模块安全技术要求》、GM/T0039《密码模块安全检测要求》是当前商密的核心标准。
深信服千里目安全技术中心CTO王振兴在主题分享中表示,人工智能技术的出现对网络安全攻防两端博弈均带来了重大变化,AI技术兴起之后,黑客的漏洞利用自动化工具发起大规模攻击的成本更加低廉,传统的开源软件安全解决方案逐渐防不住各种零日漏洞的攻击,而且效率低,响应不及时,安全行业需要更早研究和构建出突变级别的安全能力以与攻击方进行对抗。通过AI对抗AI的思路来提升开源软件安全防护能力是国内外安全防守方的突破性思考。
中关村网络安全与信息化产业联盟国产OS商用密码应用专业委员会(TCOSCA)主任王克分享了操作系统商用密码子系统的标准体系。由于Linux内核上游开源社区密码应用缺少专业组织规划和指导,密码应用研究自主性较大,缺乏技术标准,这些问题传导到国内,加上市场等因素影响,使得OS商用密码应用缺少顶层规划和设计。为贯彻国家法律法规要求,提升OS商密应用能力,促进产业发展,保障网络供应链安全,OS商密子系统标准体系随之建立。
悬镜供应链安全情报中心负责人蔡智强在《数字供应链开源安全情报建设与实践》演讲中提到,传统的软件开发方式以及供应链的组成已经发生了数字化的演进,现代化的数字供应链的组成主要包括三大数字资产,传统意义上的软件应用,包括用户态和内核态的软件,基于web服务系统以及应用在终端设备上的底层固件,还有数字应用在开发部署以及应用过程中所使用到的基础设施,以及产生的各类供应链数据。从历年供应链攻击的事件可以看出,数字应用安全、供应链数据、基础设施这三大数字资产都是攻击者最主要的针对目标。
中科院软件所,开放原子开源基金会开源安全委员会数字签名工作组组长梁冠宇,分享了基于铜锁实现的一套支持商用密码的数字签名服务方案——Signatom,该方案为国内开源软件的可信分发提供了有力支撑。数字签名技术在应用中可能面临密钥遗失和身份泄露的风险,而数字签名服务改进了这些缺陷。当前国际上知名度比较高的数字签名服务在国内落地会面临较大的可信风险。而在开放原子开源基金会的支持下建立的数字签名项目Signatom,核心自研、流程可控、机制可信,引入了临时密钥技术、OIDC协议,搭载了最先进的证书管理技术,行成了一套强可用性、可靠性的创新的无密钥签名和验签机制。
梁冠宇
蚂蚁集团密码学工程师王祖熙和联想集团混合云总监张文杰共同带来了《机密信息管理开源项目RustyVault》的主题分享。RustyVault是铜锁社区最新的密钥管理项目,在它创建之前,能够满足云原生Secret管理核心能力的开源项目只有HashiCorp公司开源的Vault,但HashiCorp曾禁止Vault企业版在中国售卖,其部分功能只在企业版中才可以使用,使用它具备一定的开源License风险。于是铜锁社区于2023年7月份启动RustVault项目,在API、存储结构、配置文件等均做到了全面兼容,技术上性能更高,在自主可控、合规可信、性能可用三方面均取得了出色的进展。
张文杰分享了联想集团部署RustyVault后的收获,他表示联想有8万名员工、 100个不同的office、20多个数据中心,50多个不同公有云上的VPC……为保障业务安全运行,多年来在密钥和密码管理工作上一直在持续努力,部署RustyVault后业务安全性和性能均得到了提高。
王祖熙
三六零天御移动安全事业部孙日新分享了《OpenHarmony应用安全加固实践》主题内容,他指出鸿蒙程序包含主模块、扩展模块、动态扩展模块以及配置文件信息四大结构,通过对其中ABC文件和Libs目录下的SO文件的研究,发现鸿蒙的动态链接库以及文件编译存在安全风险。OpenHarmony加固方案的落地实践正是一方面围绕ABC文件的解析、重构和还原,以及SO文件的编译、重构和还原来进行系统的保护;另一方面通过鸿蒙动态编译库进行安全加固。
最后一个主题分享,来自蚂蚁集团安全专家唐天龙,他带来了《“函数级”SBOM在蚂蚁的实践》主题内容。唐天龙表示,大型企业供应链安全能力建设面临两大挑战——大规模供应链应急的协调和调度,以及常态化供应链风险监测的降噪。
因此蚂蚁集团在供应链安全上面进行了两大建设举措,首先是安全左移,将SCA检测手段放在业务最左边,把SBOM细化到具体的函数级别,从而进行有效地可达性判断。整个安全左移建设完整覆盖漏洞扫描、修复分支校验、漏洞修复三大环节,为业务提供强有力的安全支撑。第二大举措是辅助修复,当业务层面面对漏洞时,可直接点击平台商的辅助修复按钮,代码在修复的过程中会返回至业务具体的PR地址,由业务部门确定修复后的代码是否符合预期,将主动权交还给业务。
唐天龙介绍到,将SBOM下沉到函数级别,可实现危险函数的调用潜在可达和危险函数调用链路确认可达,解决误报问题。目前蚂蚁基于“函数级”SBOM的供应链解决方案已形成了对外版本——源蜥,推动行业软件供应链安全技术升级。
2024开放原子开源生态大会的安全与密码产业实践分论坛,交流了开源及密码技术的最新应用实践成果,也让参会者领略了安全与密码创新技术成果在信息技术的发展与应用、数字产业的建设和升级中发挥的重要作用。相信在各方力量的共同努力下,我国数字化进程的步伐将更加稳健。