杨轩

Linux基金会亚太区副总裁
Brian Behlendorf

OpenSSF 总经理
王永雷

新思科技资深软件安全架构师
马景贺

OpenSSF 中国工作组副组长/LFAPAC 开源布道师
崔锦国

华为开源产业发展总监
王智

华为开源安全咨询独立顾问
 朱贤曼

安势信息解决方案架构总监
 郑予彬

亚马逊云科技 资深开发者布道师
龙文选

奇科厚德副总经理,LFAPAC开源布道者
陈越

Elkeid项目负责人,字节跳动主机安全负责人
董毅

悬镜安全COO
王宇

思探明中国区(Scantist China)产品专家
日程安排

13:30-13:40

Welcome and Introduction

Welcome and Introduction
杨轩 | Linux基金会亚太区副总裁

13:40-14:00

Keynote

Keynote
Brian Behlendorf | OpenSSF 总经理

14:00-14:20

基于网络弹性法案的企业级开源供应链安全解决方案 下载PPT

由于开源组件的广泛使用,由于开源组件的漏洞和代码本身的质量问题导致的网络安全攻击事件和数据泄漏事件频发,使得开源供应链的安全信任产生危机,各个国家和地区都推出了法规和条款来提升开源供应链的安全,提高数字产品的安全性,本次议题探讨基于网络弹性法案的企业级开源供应链安全解决方案
王永雷 | 新思科技资深软件安全架构师

14:20-14:40

Sigstore助力开源软件供应链安全框架SLSA的落地实践

LFAPAC 开源布道师,CDF ambassador,OpenSSF 中国工作组副组长,云原生社区管委会成员。关注在云原生 & DevSecOps 领域。是 DevOps 社区峰会、TiD 质量竞争力大会、QECon、GOTC 等大会的演讲嘉宾。目前在积极推广开源软件供应链安全。
马景贺 | OpenSSF 中国工作组副组长/LFAPAC 开源布道师

15:00-15:20

基于SBOM的开源风险管理实践

1. 使用开源软件面临的挑战概述 2. 开源风险管理的基石——SBOM 3. 让可靠合适的软件进入SBOM——开源软件选型 4. 如何将开源治理融入到企业现有开发与交付流程中(SBOM的生成,更新、流转和存档) 5. 企业开源风险管理的数字化和自动化(基于SBOM的自动跟踪和问题处理) 6. 除SBOM之外,企业还需要建设其他什么样的能力来提高开源治理水平
 朱贤曼 | 安势信息解决方案架构总监

15:00-15:20

防微杜渐,构筑企业开源安全防御体系

当前开源发展蓬勃,也带来了软件供应链安全威胁,华为在拥抱开源基础上,也积极投入资源进行开源安全工具及治理,本次议题有以下部分: 1.业界软件供应链安全发展趋势和实践洞察 2.华为针对软件供应链安全的分析和实践,包括基于SBOM的实践(CI/CD构建自动生成,合规和漏洞分析等)分享,及其他安全防护措施 3. 未来对于开源安全的一些建议
崔锦国 | 华为开源产业发展总监
王智 | 华为开源安全咨询独立顾问

15:20-15:40

从亚马逊独特文化看开源安全

安全对于亚马逊来说,任何时刻都是首要任务和行动准则。安全文化对亚马逊与开源的互动方式产生着深远的影响。我们希望通过对开源项目Firecracker的设计初衷,功能实现的经验进行深入探讨以及分享亚马逊云科技在开源项目中选择Rust并广泛使用的最佳实践, 让构建者们更多的了解亚马逊对于开源安全各个维度和细节的追求和实现。
 郑予彬 | 亚马逊云科技 资深开发者布道师

15:40-16:00

用SBOM提升软件供应链安全 下载PPT

本演讲将介绍SBOM的背景,全球推进SBOM的状态和发展方向,以及打造SBOM的方法、标准,以及如何利用SBOM提升软件供应链安全。 SBOM又叫软件成分清单,可以向软件使用者揭示软件的组成成分。随着软件技术的发展,混源开发模式成为主流,90%以上的系统软件和应用软件包含开源代码。一方面,我国的信创产业从操作系统到数据库到上层应用,都离不开开源软件;另一方面,开源软件极大促进了开源生态的发展,为我国的信创供应链提供了良好的基础,我国也已经成为全球第二大开源软件的贡献国,成为了重要的开源力量。 但是,开源代码的安全性和合规性问题随着开源的普及也日渐凸显,要保证软件供应链安全,业界正在推动SBOM在行业内的应用。美欧出台了相关法案,欧洲也在跟进,我国也在制定相应的标准。 分析SBOM主流方法有代码片段分析和依赖关系分析的方法,能够通过这样的技术手段,分析出SBOM,进而分析软件的许可证清单和软件漏洞清单。用户可以通过SBOM和这两个清单,了解代码的合规性和安全隐患,从而采用技术手段化解隐患,让软件的供应链更加安全。
龙文选 | 奇科厚德副总经理,LFAPAC开源布道者

16:00-16:20

生产环境下多工作负载安全建设实践  下载PPT

企业生产环境工作负载随着传统的物理、虚拟机到后来的容器、容器集群的演变,其安全风险也随之变化,本次演讲将结合生产环境中的经验,与大家分享多工作负载下的安全困境以及对应措施。
陈越 | Elkeid项目负责人,字节跳动主机安全负责人

16:20-16:40

基于代码疫苗技术的开源软件供应链安全治理 下载PPT

混源开发及敏捷交付背景下,开源软件成为了软件供应链的重要组成部分,其安全性也成为软件供应链安全治理的关键环节。对于已知开源风险,使用SCA工具可以对软件及应用涉及的第三方组件进行全面的资产盘点,同时了解相关组件引入的开源漏洞,便于洞察及监控开源风险。 当新的安全漏洞爆发,官方尚无新版本组件可替换时,RASP技术可以通过下发热补丁的方式在不修改源码的情况下对攻击和恶意请求进行识别和阻断,实现对未知开源风险的及时治理,为漏洞修复争取时间。 通过SCA与RASP的结合,可以涵盖已知漏洞和未知漏洞的场景,进而实现开源软件供应链安全治理从开发到运营的闭环,为企业及个人开发者的代码安全赋能。
董毅 | 悬镜安全COO

16:40-17:00

开源软件供应链安全的挑战与实践 下载PPT

在当下网络安全形势日益严峻,网络攻击威胁笼罩全球的情况下,企业数字化的加速推进需要进行整体规划,王宇先生将结合以下内容的介绍和概括,深入浅出地讲解软件供应链风险引入途径和开源软件供应链的治理重点,有干货、有实操、有引领,全方位为企业赋能、赋智。 演讲将涉及以下重点: 传统软件供应链 vs 开源软件供应链 软件供应链安全事件深度分析及解读 开源漏洞的影响和危害 软件供应链构成与安全风险引入方式 技术视角下的开源安全挑战 软件供应链安全的关键问题与OSS治理 多应用场景的SCA工具 可信开源管理及运维
王宇 | 思探明中国区(Scantist China)产品专家
©开源中国(OSChina.NET) 深圳市奥思网络科技有限公司版权所有 粤ICP备12009483号