近日,以“更及时、更合规、更安全”为主题的2023年开源安全国际交流论坛圆满召开。为进一步提升我国开源软件安全水平,强化开源社区安全协作互助机制,本次论坛正式发布《开源生态安全自律公约》(以下简称《公约》),号召行业内各开源相关单位签署,致力推动我国开源生态的共建共赢。
会上,360正式签署《公约》,未来将携手多方共同为开源产业的高质量发展夯实安全基座,助力构建开源生态共同体。360集团未来安全研究院副院长、大数据协同安全技术国家工程研究中心副主任姚珊和360漏洞云副总经理、HackingClub联合创始人TNT作为代表出席签约仪式。
左三:360集团未来安全研究院副院长、大数据协同安全技术国家工程研究中心副主任姚珊
右三:360漏洞云副总经理、HackingClub联合创始人TNT
360集团未来安全研究院副院长、大数据协同安全技术国家工程研究中心副主任姚珊博士在会上作主题演讲,她表示,开源已经成为全球协同创新的新模式,软件开发中80-90%的代码来自开源软件。攻击者向第三方开源代码库、SDK、软件开发框架中植入恶意代码,或利用开源软件自身的安全漏洞进行攻击的事件持续频发,给全球带来巨大的经济损失。做好开源安全治理是正本清源,系统性解决软件产品安全的重要基础。为此360推出开源软件安全分析与治理平台,致力于解决开源治理过程中成分不透明、漏洞隐蔽、疲劳告警、影响范围难以评估等痛点问题,促进维护开源和软件供应链安全,保障我国关键信息设施安全。
数字时代,开源建设作为加强关键数字技术创新应用的重要措施,已经成为全球协同创新的新模式和推动数字技术发展的强大动力。但是由于开源软件开发人员来自不同国家、不同背景,源代码的查看、修改、增加权限较为开放,很容易引入未知的安全风险。而我国银行、能源、国防、医疗、电力等重要行业运行的系统,也大量使用开源软件。如果被恶意利用,足以撼动我国关键信息基础设施的安全。
360集团多年来持续输出开源软件漏洞挖掘、应用审核等安全能力,致力于打造安全稳定和广泛兼容的开源生态环境。
作为360推出的的中国首家开源漏洞响应平台,360BugCloud开源漏洞响应平台聚焦收录未被披露的开源以及通用组件高危漏洞,致力于维护开源软件和供应链安全。平台为非开放性注册平台,只面向成功提交0day漏洞的安全研究员开放,并首创“自主议价”模式及“第三方专家评审”机制,安全研究员仅需提交漏洞影响力描述即可进行议价,先议价后交漏洞,让安全研究员完全掌握漏洞提交主动权,高额奖金上不封顶,让漏洞价值得到充分保障与肯定。
未来,360将继续携手合作伙伴,加速推进开源应用的安全发展,助力我国关键数字技术“弯道超车”,持续为数字化转型战略安全加码。
