OpenSSF开源安全基金会总经理Brian Behlendorf:“中国开发者社区对主要的开源项目做出了重大的贡献,今天我们很高兴看到OpenSSF中国开源安全工作组的成立,它是中国开源社区和全球开源社区的桥梁,共同携手为全球开源安全提供建议、指南和最佳安全实践,打造更高质量的软件。OpenSSF中国开源安全工作组不仅会本地化OpenSSF的许多最佳实践,还会为开发者编写更安全的代码提供指导和建议。我们希望它可以成为一条双向的渠道,我们可以向中国社区的朋友学习,让中国开发者的贡献成为全球开源安全最佳实践的一部分。”
华为开源管理中心技术专家穆文锋:“全球开源数量爆发式增长,2021年Github管理的仓库超过2.6亿个,仅2021年就增加了6100万个,开源已经成为构建企业信息中心的底座,开源项目能够紧跟技术更新迭代的趋势,在新兴科技领域占据了绝大的优势,我们在享受开源带来的便利的同时,也面临着巨大的风险!”
中国电信股份有限公司研究院企业数字化转型高级专家陈泳:“通过参与OpenSSF,我们希望实现全景、全链条的安全供应链管理。我们对OpenSSF技术社区的愿景是建立便利检索的常用开源软件企业安全基线,并且有安全版本的修复、安全配置指引和案例交流。”
上海安势信息技术有限公司技术市场总监王峰:“作为开源安全工具厂商,开源软件供应链安全市场潜力巨大,但是挑战同样巨大。头部企业基本建立了完善的开源治理体系,但是对于大量的中小企业,开源安全还属于初级阶段,对于开源安全治理的了解还比较少,通常是被动应对发生的安全事件。针对开源安全漏洞的各种攻击日益严重,企业建立开源治理的机制迫在眉睫。”
腾讯安全云鼎实验室高级安全研究员王福维:“作为头部互联网企业,在应对开源软件供应链安全一直遵循着两大原则,第一个原则是在关键技术环节整合成熟方案与自主研发方案,互为补充。第二个原则是坚持接入DevSecOps流水线的软件安全检查和进行长期持续化安全分析。”
中兴开源合规&安全治理总监项曙明:“开源安全治理在中兴已经有10个年头,属于OSPO的管理范畴。开源供应链安全的链条其实已经比较清晰,对于企业来说,关键是怎么实际操作和落地,建立一套可信的管理机制。我觉得OpenSSF开源安全工作组成立的正当时,第一工作组可以将OpenSSF现有的研究成果、最佳实践、培训资料快速引入国内,提升国内安全管理能力水平。第二便于收集国内各界在开源安全方面的各种诉求,最佳实践,更好地融入OpenSSF各个工作组。在当前开源可信供应链管控提升到国家战略的当下,相信OpenSSF开源安全工作组的成立对我国、我们国内的企业将起到很好的引领和参考价值!”
IBM全球首席技术官(国际标准及开源)兼大中华区首席技术官(标准及开源)程海旭博士:“IBM一直长期持续地支持和参与开源,也是OpenSSF开源安全基金会的发起方之一。使用开源存在风险和挑战,以金融行业为例,国家在《关于规范金融业开源技术应用与发展的意见》第六条指出,金融机构可以根据金融业务场景,选择适宜的技术路线,制定合理的开源技术应用策略,包括独立完成开源技术应用和运维,引入第三方机构的开源技术服务。但是开源软件和服务公司的质量并不都是一样的,使用者自己需要对使用开源的风险承担后果,而OpenSSF可以为开源社区提供一定安全保障,最后希望大家积极参与开源,预祝OpenSSF中国开源安全工作组成功!”
北京水木羽林科技有限公司CTO白易元:“我们的目标是基于模糊测试为核心打造全类型软件安全供应链安全保障的解决方案。模糊测试是一个历史悠久的动态测试技术,技术特点的优势是自动、高效、准确和发现未知漏洞,在开源供应链安全有广泛的应用场景,是OpenSSF的Security-Tooling安全工具工作组的核心工作之一,有兴趣合作的朋友可以联系我们。”
阿里云安全负责人欧阳欣: “开源软件已成为 IT 的关键软件供应链,开源软件安全对基础设施安全产生巨大影响。阿里云作为全球领先的云供应商,始终将安全和数据隐私放在首位,并在安全研究方面持续投入。长期以来,公众认为开源软件因为透明而非常安全,所有软件开发人员都可以审查代码,发现并修复漏洞。但实际上,有很多被广泛使用的开源软件,仍然可能存在许久未发现的安全漏洞。很高兴有一个像开源软件安全基金会 (OpenSSF) 这样的组织,它可以连接这么多伟大的公司和开源社区,以推进开源安全。作为开源安全基金会的成员,我们期待与 OpenSSF 合作,加强开源安全。”
关于开源安全基金会 Open Source Security Foundation (OpenSSF)
