2023CCF中国开源大会丨开源供应链安全技术分论坛

最新推荐文章于 2025-05-22 11:33:55 发布

开源头条

最新推荐文章于 2025-05-22 11:33:55 发布

阅读量1k

点赞数

分类专栏： CCF中国开源大会的专栏文章标签：开源

CCF中国开源大会的专栏专栏收录该内容

75 篇文章

订阅专栏

2023 CCF 中国开源大会即将于10月21日-22日于湖南长沙举行，将举办近20场领域平行分论坛。由王千祥作为主席的开源供应链安全技术分论坛邀请您共同分享经验和见解，共同探索开源领域的无限未来！

开源供应链安全技术分论坛

一、分论坛简介

开源漏洞给企业甚至国家的安全都带来了严峻的挑战。研究表明：应用软件 80-90% 的代码来自开源组件，平均每个应用使用的开源软件数量达 100多个，平均每个软件应用存在 50多个开源软件漏洞。开源供应链安全的保障近年来受到了业界的广泛关注。本论坛邀请了来自高校、企业、研究所的多位资深专家针对开源供应链安全技术相关的问题、挑战及未来方向等内容开展深入讨论，希望给听众带来一些新的思路。

二、分论坛主席

王千祥

华为云智能化软件研发首席专家，PaaS技术创新LAB主任，华为可信领域科学家，中国计算机学会软件工程专委副主任，主导华为公司的智能化软件研发，结合AI技术与软件分析技术，赋能公司的系列软件研发工具。

三、分论坛演讲

软件供应链安全评估实践及行业标准框架

程华

军事科学院战略评估中心国防科技安全评估团队负责人、

研究员

一、嘉宾介绍

程华，军事科学院战略评估中心国防科技安全评估团队负责人，研究员，博士生导师，中国计算机学会理事，CCF开源技术委员会常务委员，信创联盟“产业成熟度工作组”组长。长期从事国产计算机系统一线研制和评测，研究成果转化为自主可控度评估、国产操作系统、服务器、桌面计算机、云计算评测等11项国军标/国标，主持研制“重睛鸟”代码溯源和安全审查平台，获党政军广泛应用。获省部级科技进步一等奖1项（3）、二等奖3项（1，1，1），“国家标准创新贡献奖”一等奖1项（1），获卓青基金资助。

二、演讲内容

本报告主要分为三部分：（1）介绍国产软件的开源依赖现状、挑战和全球主要国家的法律和技术对策；（2）结合工作实践，介绍CCF GitLink和“重睛鸟”在开源治理方面的探索和实践；（3）介绍软件演进过程量化分析方法，总结开源软件发展规律，为当前我国发展开源软件提供参考；（4）介绍正在制定的软件供应链安全评估分级标准框架。

AI开源联合体的思考与实践

彭鑫

复旦大学计算机科学技术学院副院长、软件学院副院长、教授、博士生导师

一、嘉宾介绍

彭鑫，复旦大学计算机科学技术学院副院长、软件学院副院长、教授、博士生导师。中国计算机学会（CCF）杰出会员、软件工程专委会副主任、开源发展委员会常务委员，上海市计算机学会青工委主任，《Journal of Software: Evolution and Process》联合主编（Co-Editor），《ACM Transactions on Software Engineering and Methodology》、《Empirical Software Engineering》、《Automated Software Engineering》、《软件学报》等期刊编委。2016年获得NASAC青年软件创新奖。主要研究方向包括软件智能化开发、云原生与智能化运维、泛在计算软件系统、智能网联汽车等。研究工作获得IEEE Transactions on Software Engineering年度最佳论文奖（2018）、ICSM 2011最佳论文奖、ACM SIGSOFT杰出论文奖（ASE 2018/2021及ICPC 2022）、IEEE TCSE杰出论文奖（ICSME 2018/2019/2020、SANER 2023）。担任ICGSE 2014及ICSME 2017组委会主席，Internetware 2017及ICSR 2019程序委员会主席，2022年与2023年CCF中国软件大会（ChinaSoft 2022）组织委员会主席与程序委员会共同主席，以及ICSE、FSE、ASE、ISSTA、ICSME、SANER等会议程序委员会委员。带领复旦大学CodeWisdom研究团队开展软件智能化开发与运维以及软件供应链治理平台的研究，研究成果在多家大型企业进行了实践应用。

二、演讲内容

开源软件已经上升为国家级战略，对于信创和软件产业、国民经济、国防与国家安全等发挥着重要的支撑作用。然而，由于开源软件生态以及开源软件供应链日益复杂，开源软件也给软件产品带来了严峻的安全、法律和维护风险。为此，复旦大学CodeWisdom团队研制并发布了开源软件供应链风险分析与治理平台“伏羲”。“伏羲”在高质量开源软件供应链知识（包括漏洞知识、许可证知识等）汇聚的基础上，利用一系列高精度程序分析技术（包括代码差异分析、调用图分析等）实现多种开源软件供应链风险（安全风险、法律风险等）的分析与治理服务。本次报告将在介绍“伏羲”平台相关分析技术的基础上，对未来的发展趋势进行展望。

CCF精准开源漏洞库COSV服务建设进展与规划

梁广泰

华为云软件分析Lab负责人

软件分析领域技术专家

一、嘉宾介绍

梁广泰，14年初获得北京大学计算系博士学位，之后入职IBM中国研究院担任研究员职位。16年5月加入华为工作至今，带领团队先后围绕代码缺陷检测与修复、开源成分分析与治理、代码智能同步/重构/移植等方向成功孵化多项智能化开发服务并规模化落地。至今已发表技术专利50+及学术论文30+（含ICSE/FSE/ASE/OOPSLA等），曾获FSE最佳论文奖，先后担任一系列软工Top国际会议PC Member/Chair等角色（含ICSE/OOPSLA/ISSRE等）。

二、演讲内容

业界公开的CVE/NVD/CNVD等漏洞库为SCA厂商提供了一定的数据基础，但这些漏洞库在精准度、完备度、及时性方面存在较多不足，导致各SCA厂商需额外投入高昂研发成本进行漏洞数据精化与挖掘。第一，漏洞数据结构化程度与描述规范性欠佳,导致SCA系统无法直接消费。第二，各漏洞库之间数据存在一定交集也存在独有漏洞信息，交集数据部分也会存在信息差异，SCA厂商需要分别对接多个漏洞库并开展数据去重治理工作，效率低下。第三，目前已有漏洞库依赖于社区上报机制，存在滞后性，在漏洞正式公开前大量漏洞修复信息可能已提交至公开代码仓中（可被黑客提前感知）。面对上述问题，对标OpenSSF OSV服务，CCF开源发展委员会供应链安全工作组联合国内同行陆续规划并建设CCF版漏洞描述规范COSV Schema与公开漏洞智能汇聚服务COSV Database。本报告会围绕COSV Schema和COSV Database相关建设进展与规划进行分享。

“源图”：开源软件供应链安全实践

吴敬征

中国科学院软件研究所研究员，博导，

软件所杰出青年科技人才

一、嘉宾介绍

吴敬征，博士，中国科学院软件研究所研究员，博导，软件所杰出青年科技人才。主要研究方向为操作系统、系统安全、开源软件供应链安全、漏洞挖掘、代码分析等。在国内外期刊和会议发表学术论文70余篇，授权国家专利30余项，获得软件著作权40余项、编写鸿蒙技术书籍2部、操作系统安全书籍1部、参与系统安全团体标准编制7项、累计向国内外安全漏洞库提交软件安全漏洞200余项。主持自然科学基金、重点研发计划课题等10余项。曾荣获北京市科技进步一等奖、通信学会科技进步二等奖、电子学会科技进步二等奖等。

二、演讲内容

开源软件供应链是信息产业发展的新“引擎”，是开源生态技术底座。本报告基于中国科学院软件研究所建设的“源图“开源软件供应链供应链平台，介绍开源生态亟需应对的与日俱增的安全风险，分享开源软件投毒检测、关键软件缺陷检测、开源软件供应链SBOM+、智能安全漏洞管理等实践场景中的一些经验。

openKylin开源社区安全体系建设

毛周

麒麟软件有限公司版本平台部副经理

一、嘉宾介绍

毛周，麒麟软件有限公司版本平台部副经理，openKylin开源社区技术委员会委员，openKylin开源社区基础设施平台负责人，openKylin开源社区Packaging SIG maintainer、SecurityGovernance SIG maintainer。长期从事操作系统软件研究工作，在FOSSASIA Summit、ICACTE、SEAI等国际会议发表操作系统相关论文多篇，获软件著作权、发明专利多项。

二、演讲内容

在当今快速发展的技术环境中，开源社区已成为推动创新和协作的重要平台。然而，安全问题也逐渐凸显，影响到开源项目质量和开源社区的可信度。本次演讲将聚焦于openKylin开源社区安全体系的建设，旨在探讨和改善这一关键问题。

我们首先会审视当前在openKylin开源社区面临的主要安全挑战，接着，我们将深入讨论安全开发生命周期各个阶段的安全策略和相关实践，除此之外，我们还将介绍openKylin开源社区安全体系建设的重点项目案例，展示如何通过这些项目提升开源项目的安全性。最后，我们将探讨参与openKylin开源社区安全体系建设的方式，以共同推动openKylin开源社区安全体系的持续建设和优化。

我国的开源供应链安全技术与国际最前沿技术相比，存在哪些差距？如何赶超？

圆桌论坛