《openEuler供应链安全安全技术探索》_熊伟_openEuler技术委员会委员.pdf

1、openEuler供应链安全安全技术探索熊伟openEuler技术委员会委员CONTENTS目 录01.openEuler总体介绍openEuler的综合总体介绍以及在安全方面的基础设施构建02.openEuler供应链安全探索openEuler在供应链安全方面的工作介绍03.openEuler安全技术探索openEuler在安全领域的技术探索简介2 0 2 3 W E S T L A K ED I G I TA L S E C U R I T YC O N F E R E N C EopenEuler：支持多样化算力的全场景操作系统平台openEuler：支持多样化算力的全场景操作系统平台o

2、penEuler：支持多样化算力的全场景操作系统平台openEuler：构筑完善的安全基础设施1.openEuler漏洞披露策略 上游开源漏洞：针对上游开源社区的漏洞，openEuler直接在社区公开披露SA公告/CVE公告。下游发行商可以通过订阅openEuler邮件服务或工具爬取，第一时间感知这部分漏洞（openEuler受影响的漏洞发SA公告和CVE公告）。原生0day漏洞：对于社区原生代码的0day漏洞，openEuler先通过邮件私有披露给下游发行商，默认7-14天后，再公开披露SA公告。2.下游发行商漏洞同步到openEuler社区 下游发行商若发现openEuler相关的0day

3、漏洞，通过加密邮件上报；发现上游开源社区漏洞，通过在社区ISSUE平台上报。openEuler漏洞披露策略上游开源漏洞原生0day漏洞社区漏洞感知社区漏洞披露社区漏洞处理流程安全邮箱社区SA/CVE公告Issue平台公开披露漏洞感知系统/工具CI/CD平台下游发行商NVD漏洞库外部上报/漏洞奖励私有邮件披露上游开源漏洞原生0day漏洞公开披露工具爬取/邮件订阅加密邮件上报（0day漏洞）/ISSUE平台（上游社区漏洞）上报漏洞openEuler供应链安全探索p 标准组织 主要推动组织：NTIA，2018/6/6起，启动软件组件透明度计划Software Component Transparen

4、cy 主要协议组织 Linux Fundation:SPDX ISO/IEC:SWID 19770-2 OWASP:CycloneDX CISQ&OMG:3T-SBOM 相关标准 OpenChain ISO 5230：软件供应链管理需要SBOMSBOM 在OpenSSF的SLSA（软件制品的供应链级别，Google捐赠）,S2C2F（开源软件安全供应链消费框架，微软捐赠）均作为必要指标p软件供应链安全框架动向p OpenSSF SBOM Everywhere动员计划：Level 1 clients and SDKs：操作系统和构建系统无关的命令行解释器(CLI)，生成SBOMLevel 2 p

5、ackage manager plugins：一组插件或模块，可在本地与主要包管理器和存储库（如 Maven、npm）一起工作生成SBOMLevel 3 native package manager integration：通过向主要包管理器添加native SBOM 生成功能Level 4 containerization integration，容器化整合：通过将native SBOM 生成功能添加到容器化构建过程Level 5 application/solution integration/deployment：当部署由多个不同组件（容器,machine images,event dr

6、ivenservices）组成的应用程序时，协调管理器聚合构成的 SBOMS 以反映已部署的所有组件成分openEuler供应链安全探索SBOM基于CI产生：CI/CD自动产生，针对不同的包管理机制、操作系统等提供多样化的SBOM采集工具第三方应用支持SBOM：业界典型开源管理、安全管理、供应链软件管理工具，支持SBOM数据格式应用openEuler已经实现SBOM的全面落地单软件的SBOM元数据详情如下为openEuler-22.03-LTS-everything-x86_64-dvd.iso依赖的16818个软件列表及其基本信息。openEuler已