建立“可控开源”体系,openKylin聚焦开源根社区安全发展!
而要降低开源风险,保障开源安全,就要求开源社区必须做好开源的安全机制。为此,openKylin社区推出了“可控开源”体系,为开源安全保驾护航。
什么是“可控开源”?
“可控开源”是指在确保开源代码安全的基础上,使用户和开发者能够安全、持续、稳定的使用开源社区软件及开源软件涉及的支持性服务。
“可控开源”的特性
“可控开源”体系从代码的来源、设计、使用、创新和发展五个重要环节,围绕代码流通的全链路进行安全管理。
1. 来源可控
对于引入的开源组件,通过合规检查、安全漏洞扫描、静态代码分析、动态代码分析等技术手段,确保引入openKylin社区的开源组件代码来源清晰、透明、安全。
2. 设计可控
3. 使用可控
4. 创新可控
5. 发展可控
提供自主研发的基础设施平台和以技术委员会+SIG组主导版本、关键技术路线的机制,有效保障openKylin开源软件发展演进的安全。
“可控开源”当前进展
目前openKylin“可控开源”安全体系正在积极推进针对开源合规、漏洞应急响应和漏洞管理平台的建设,面向多场景为社区的安全保驾护航,及时规避可能存在的安全隐患,具体情况如下:
开放麒麟门禁系统:是由Infrastructure SIG组建设的开源合规检测平台。平台涵盖了开源选型可靠性、稳定性、安全性及开源协议风险性检测,致力于保障引入的开源组件来源清晰、安全透明。
开放麒麟安全应急响应中心:由SecurityCommittee SIG组建设、广大社区成员共同贡献的开源操作系统安全漏洞发布、响应、处理、发布的平台。平台涵盖了上报漏洞的全生命周期管理,致力于拓宽漏洞发现渠道,增强面对未知信息安全风险的能力。
开放麒麟漏洞管理平台:是SecurityCommittee SIG组为切实履行自身职能,提高漏洞监控与响应修复能力而自主研发的一款漏洞全生命周期监控与管理的服务型平台。
面对日益严峻的开源安全挑战,openKylin作为国内首个桌面操作系统根社区,积极构建开源安全机制和平台,让开发者能安全高效地在openKylin社区平台上开展研发工作。接下来openKylin将持续聚焦“可控开源”体系建设,助推国内开源领域迈向安全创新新阶段。
openKylin(开放麒麟)社区旨在以“共创”为核心,在开源、自愿、平等、协作的基础上,通过开源、开放的方式与企业构建合作伙伴生态体系,共同打造桌面操作系统顶级社区,推动Linux开源技术及其软硬件生态繁荣发展。
社区首批理事成员单位包括麒麟软件、普华基础软件、中科方德、麒麟信安、凝思软件、一铭软件、中兴新支点、元心科技、中国电科32所、技德系统、北京麟卓、先进操作系统创新中心等13家产业同仁和行业机构。
审核:openKylin