如何构建良性的软件供应链生态？看看他们怎么说

近日，​​龙蜥社区「走进系列」​​之走进中兴通讯 MeetUp 在广州成功召开，线上观看人次超 2.5 万。现场来自中兴通讯、江南天安、阿里云、安势信息、Tenable、浪潮信息、绿盟科技及龙蜥社区等安全领域大咖，围绕操作系统在行业应用中的安全技术、开源软件供应链建设经验展开，共同探讨操作系统在保障不同场景的应用系统中起到的关键作用和相关安全技术。此外，圆桌讨论环节由阿里云技术专家郑耿主持，邀请了中兴通讯开源治理负责人项曙明、安势信息副总裁高琨、Tenable大中华区技术总监全晓可、浪潮信息安全研发经理曹柱、绿盟供应链安全产品总监刘军、统信软件安全技术专家董晓林 6 位嘉宾，就“如何构建良性的软件供应链生态”展开了热烈的交流与讨论。

图片(图/现场嘉宾合照)

​

会议伊始，龙蜥社区理事长马涛和广东中兴新支点技术有限公司副总经理崔黎明做开场致辞。

龙蜥社区理事长马涛远程致辞：“在这个充满挑战的时代，我们深知开源软件在推动技术创新和促进知识共享方面发挥了重要作用。龙蜥社区作为国内开源操作系统根社区，有责任确保软件供应链和操作系统的安全性，以保护用户的数据和隐私。今天，中兴通讯与龙蜥社区联合举办的 MeetUp，邀请了业界资深技术专家围绕开源软件供应链的安全问题展开讨论，分享最新的研究成果和技术趋势。除此之外，我也希望借此机会呼吁更多的企业加入龙蜥社区安全联盟，共同提升开源软件的安全性，为广大用户提供更好的服务和体验。”

​

广东中兴新支点技术有限公司副总经理崔黎明表示，开源软件供应链是一条复杂的生态链，各个环节紧密相连，从代码的贡献者到软件的分发平台，任何一个节点出现问题都可能波及整个系统。中兴新支点将通过龙蜥社区并联合生态合作伙伴共同努力，有效地应对开源软件供应链及操作系统安全的挑战，为我们的数字世界构建一个更加安全、可靠的环境。

(图/广东中兴新支点技术有限公司副总经理崔黎明)

​

中兴通讯研发总工闫新成分享了《电信主机安全检测技术》。他表示，安全政策趋势将聚焦无限防御和网络韧性，而且安全攻防趋势存在极限攻防的资源不对称、AI 加持的攻击逐渐流行、被动防御的局限性、CT 与 IT 技术逐渐融合等现象。“2023 年，我们推出电信主机内生安全整体方案，并顺利与三大运营商完成外场测试，在2024 年下半年正式开启商用。今年，我们在内生安全 1.0 的基础上进一步演进到内生安全 2.0。基于首创的确定性安全架构，实现了电信场景的可预期防护。该架构融合了安全设计、主动防御和 AI 等技术，满足监管要求的同时，可以以更低的研发成本有效应对不确定的高对抗安全威胁。”

(图/中兴通讯研发总工闫新成)

江南天安研发中心副总经理张钊做了《操作系统的密码应用》主题演讲。张钊给大家分享了商密的发展史。密码技术由来已久，从 2011 年密码行业标准化技术委员会的成立到 2023 年新修订《商用密码管理条例》的施行，意味着密码技术逐步走向成熟和标准化。信息技术正处于快速发展和变革之中，新技术和新应用层出不穷，给密码技术带来了新的机遇和挑战。最后给大家分享了密码技术在操作系统的具体应用和江南天安在密码技术与信息安全的产品与解决方案。

(图/江南天安研发中心副总经理张钊)

阿里云高级安全专家张佳分享了《阿里云 Confidential AI 最佳实践》。张佳表示，大模型场景下存在以下典型系统级安全风险，部署的 AI 服务存在被劫持的风险，进一步导致模型数据被泄露的风险，计算过程中的模型数据存在泄露风险，使用过程中存在敏感信息被滥用和泄露的风险，保存在存储服务上的明文模型数据存在泄露风险。而阿里云的 CCC 架构基于 Confidential AI 技术，利用机密计算软硬结合技术，从系统级安全角度为模型数据提供端到端的加密防护，大幅降低模型数据泄露风险。使用机密计算技术保护云上模型数据安全已成为阿里云必须具备的能力，为用户提供可以放心在云上进行训练和推理的 AI Infra。最后还发布了龙蜥社区云原生机密计算 SIG 开源方案，旨在积极推广机密计算技术在国内的生态繁荣。

(图/阿里云高级安全专家张佳)

中兴通讯高级安全专家张兵带来了《车载操作系统信息安全架构》主题演讲。车载操作系统信息安全是指通过技术手段和管理策略，保护操作系统免受恶意软件、黑客攻击和数据泄露等威胁。它包括一系列的防护措施和策略，旨在确保车载操作系统的机密性、完整性和可用性。张兵分享了汽车信息安全威胁的实际案例，目前汽车信息的安全态势、车载操作系统信息安全演进、车载操作系统发展趋势和中兴通讯在车载操作系统信息安全的实践成果与经验等精彩内容。

(图/中兴通讯高级安全专家张兵)

安势信息副总裁高琨以《开源社区漏洞治理策略与实践》为主题与大家分享。近些年来，开源软件安全攻击事件频发，对信息安全和软件供应链带来严重影响。高琨表示 ，我们可借鉴的国外优秀探索，如谷歌通过 SLSA 实现开发、构建、发布环节的安全审计与防护，确保每个交付物的可信度。借助 S2C2F，建立安全的组件引入机制，监控依赖风险并优化安全修复流程。最后分享了安势在软件供应链安全的探索及成果。

(图/安势信息副总裁高琨)

龙蜥社区漏洞管理负责人张世乐分享了《龙蜥社区漏洞管理治理策略与实践》。龙蜥社区立足云计算打造数字创新基石，聚拢产业生态力量，共创数字化发展开源新基建。汇聚企事业单位、高等院校、科研单位、非营利性组织、个人开发者等多元角色，作为面向国际的 Linux 服务器操作系统开源根社医及创新平台，龙蜥社区持续推动软、硬件及应用生态繁荣发展，并推出龙蜥漏洞激励计划。最后张世乐还分享了社区漏洞治理流程、社区漏洞治理策略、龙蜥漏洞披露策略等精彩内容。

(图/龙蜥社区漏洞管理负责人张世乐）

会上，由阿里云技术专家郑耿主持，邀请了中兴通讯开源治理负责人项曙明、安势信息副总裁高琨、Tenable大中华区技术总监全晓可、浪潮信息安全研发经理曹柱、绿盟供应链安全产品总监刘军、统信软件安全技术专家董晓林 6 位嘉宾，就“如何构建良性的软件供应链生态”展开了热烈的交流与讨论。针对软件供应链安全扫描能力如何选择、社区和企业如何保障软件供应链产品安全以及在 AI 2.0 时代下，软件供应链安全面临的挑战与机遇等热门问题，各专家纷纷发表了自己的看法。中兴通讯开源治理负责人项曙明叙述了中兴通讯在使用开源组件时遇到了全生命周期管理的难题，许多开源组件缺乏详细的生命周期信息。Tenable大中华区技术总监全晓可指出，今天的会议主要是给开源操作系统和供应链安全装上防火墙，但别忘了还有漏洞，它总是比你想象的更会“溜门撬锁”！安势信息副总裁高琨则强调了全生命周期管理的复杂性和重要性，特别是对于开源组件。同时建议下游厂商积极参与上游开源社区，以提高组件的安全性和可靠性。浪潮信息安全研发经理曹柱希望浪潮信息与龙蜥社区和其他安全厂商合作，建立一套标准化的漏洞管理和 SBOM 机制。绿盟供应链安全产品总监刘军表示在软件供应链安全方面提供了多种工具和服务，帮助企业在合规和技术层面上提升安全性。统信软件安全技术专家董晓林希望安全联盟能够引入更多的安全企业，如源码审计和内核主动防御等领域的厂商。

(图/圆桌讨论环节)

最后，感谢本次活动各位嘉宾的精彩演讲，也感谢中兴通讯及龙蜥社区伙伴成员：林洛卉、胡捷、邝鉴鸿、李雅娟、金美琴、蔡佳丽、莫庆良、蒋涛、陈盛德、孙林林、袁艳桃、周虎晨（以上排名不分先后）等人的组织与配合，也特别感谢思否、阅码场等媒体/企业对本次活动直播的支持，有各位的辛苦付出，使得 MeetUp 活动圆满结束。

视频回放、课件获取：

本次直播回放及技术 PPT上线啦，欢迎点击下方链接观看~

回放链接：

​​https://openanolis.cn/video/#1248842043973477258​​

技术 PPT ：关注龙蜥公众号【OpenAnolis 龙蜥】，回复“龙蜥课件”获取。

—— 完 ——