6 月 12 日，2023 開放原子全球開源峰會開源安全技術與實踐分論壇成功舉辦。本場論壇圍繞開源軟件供應鏈、開源漏洞信息共享機制、開源安全測試工具、人工智能新技術對開源安全領域的影響等方向分享了技術和最佳實踐，討論了開源安全領域最新產業動態。

開放原子開源基金會理事長孫文龍

孫文龍在致辭中表示，開源軟件安全問題逐漸引起了業界的重視，開源軟件漏洞以及供應鏈的攻擊，證明了保護開源軟件和供應鏈的緊迫性。2022 年 10 月成立的開源安全委員會將按照前期的部署，以完善開源安全治理體系、繁榮開源安全生態為目標，著力于聚焦聚集產業生態各方力量，提升開源的安全治理水平。

分論壇上，舉行了開源安全委員會主席、副主席授牌和開源安全委員會新成員授牌儀式。

孫文龍理事長為武延軍主席，任旭東、趙春副主席雷頒發聘書

孫文龍理事長，武延軍主席，任旭東、趙春雷副主席開源安全委員會新成員授牌

開源安全委員會主席武延軍

武延軍首先介紹了開源安全委員會成立以來的工作進展情況與展望。

統信軟件 CTO 張磊

張磊表示，面對安全測試工具選擇中的困惑，形成一套有參考意義的、公開、公平、公正的開源安全測試工具規范至關重要。張磊從工具的原則、要求、執行、寫作和下一步規劃等方面進行了詳細的闡釋。

南洋理工大學計算機科學與工程學院教授、網絡安全實驗室主任劉楊（YangLIU）

劉楊（Yang LIU）教授分享了 AI+DevSecOps 的最新研究成果，并從多個角度講述了 AI 驅動的應用現代化創新技術及其工程應用。

螞蟻集團安全專家余瞰

余瞰闡釋了面對技術原理各異，場景復雜，業界無可借鑒方案等挑戰，應用安全測試技術（xAST）采用的研究方法和創新成果。

浙江大學研究員紀守領

紀守領通過對行業背景和實踐過程的介紹，具體闡釋了 UVScan 這一自動化和可擴展的系統如何檢測物聯網固件中的 TPC 使用違規。

工業和信息化部電子第五研究所軟件研究院政策與技術研究室主任云雷

云雷首先指出了開源軟件漏洞情報共享的重要性，并表示國內開源漏洞信息感知時間有延遲，且尚未形成成熟高效的共享機制。他表示要共同吸引優質伙伴共建共治共享，用開源的協作方式讓開源代碼更安全。

openEuler 開源安全委員會主席魏剛

魏剛先分享了 openEuler 社區安全框架，隨后就 openEuler 社區漏洞處理流程、openEuler 社區工具流水線及軟件供應鏈安全能力進行了具體的介紹。

奇安信科技集團代碼安全事業部負責人韓建

韓建從開源軟件生態發展與安全狀況、國內企業軟件開發中開源軟件應用狀況、典型開源軟件供應鏈安全風險實例分析等多個方面對開源軟件供應鏈安全進行深入分析，并就開源軟件供應鏈安全保障給出相應建議。

深信服千里目安全技術中心 CTO 王振興

王振興從開源軟件面臨的安全風險入手，分析了當前開源安全風險治理面臨的挑戰，闡釋了深信服千里目技術中心認為的開源風險治理理念、并分享了深信服千里目安全技術中心在開源零日漏洞治理、開源安全漏洞發現、開源安全風險管理的最新研究進展和最佳實踐案例。

中國軟件評測中心軟件供應鏈技術專家袁薇

袁薇以軟件供應鏈模型為切入點，分析軟件供應鏈安全風險產生的背景、常見風險類型，以及軟件供應鏈研究現狀和成果。她還分享了所在機構的一套軟件供應 2 鏈安全的評估方法，為保障軟件供應鏈安全提供技術參考。

華為云產業戰略官張銳剛

張銳剛介紹了開源安全及軟件供應鏈產業洞察、開源治理面臨的產業挑戰，分享了華為云軟件工程可信在開源治理的最佳實踐。提出開源 OSS 的“安全+發展”并重平行發展思路，現代化的數字基礎設施構建更需要可信的云基礎設施底座，通過可信治理構筑軟件產業高質量之基，通過開源社區生態發展加快應用現代化生態構建。

深開鴻未來研究院副研究員王潮

王潮先介紹了供應鏈可信風險類型，隨后從開源軟件供應鏈安全漏洞的傳播檢測、開源軟件供應鏈組件沖突等方面具體介紹了供應鏈可信風險消解的實踐路徑。

圓桌論壇環節，武延軍、任旭東、趙春雷、Yang LIU、紀守領和國家能源集團數據中心網絡安全中心副總經理平雷等人就做好開源領域的漏洞管理、開源供應鏈安全、技術革新的挑戰與機遇等話題展開探討，充分交流各自看法。

本場開源安全技術與實踐分論壇搭建起專業的行業交流平臺，分享了諸多高質量的見地和具有實際效用的思考。通過直面開源安全領域的挑戰，開源安全技術與實踐分論壇為行業提供有價值、有意義的多元化解決方案，為開源的快速發展和風險防范探索最佳的平衡點，為彌補風險缺口、共筑安全底線提供了更多的可能。

審核編輯黃宇