《《openEuler供应链安全安全技术探索》_熊伟_openEuler技术委员会委员.pdf》由会员分享,可在线阅读,更多相关《《openEuler供应链安全安全技术探索》_熊伟_openEuler技术委员会委员.pdf(18页珍藏版)》请在三个皮匠报告上搜索。
1、openEuler供应链安全安全技术探索熊伟openEuler技术委员会委员CONTENTS目 录01.openEuler总体介绍openEuler的综合总体介绍以及在安全方面的基础设施构建02.openEuler供应链安全探索openEuler在供应链安全方面的工作介绍03.openEuler安全技术探索openEuler在安全领域的技术探索简介2 0 2 3 W E S T L A K ED I G I TA L S E C U R I T YC O N F E R E N C EopenEuler:支持多样化算力的全场景操作系统平台openEuler:支持多样化算力的全场景操作系统平台o
2、penEuler:支持多样化算力的全场景操作系统平台openEuler:构筑完善的安全基础设施1.openEuler漏洞披露策略 上游开源漏洞:针对上游开源社区的漏洞,openEuler直接在社区公开披露SA公告/CVE公告。下游发行商可以通过订阅openEuler邮件服务或工具爬取,第一时间感知这部分漏洞(openEuler受影响的漏洞发SA公告和CVE公告)。原生0day漏洞:对于社区原生代码的0day漏洞,openEuler先通过邮件私有披露给下游发行商,默认7-14天后,再公开披露SA公告。2.下游发行商漏洞同步到openEuler社区 下游发行商若发现openEuler相关的0day
3、漏洞,通过加密邮件上报;发现上游开源社区漏洞,通过在社区ISSUE平台上报。openEuler漏洞披露策略上游开源漏洞原生0day漏洞社区漏洞感知社区漏洞披露社区漏洞处理流程安全邮箱社区SA/CVE公告Issue平台公开披露漏洞感知系统/工具CI/CD平台下游发行商NVD漏洞库外部上报/漏洞奖励私有邮件披露上游开源漏洞原生0day漏洞公开披露工具爬取/邮件订阅加密邮件上报(0day漏洞)/ISSUE平台(上游社区漏洞)上报漏洞openEuler供应链安全探索p 标准组织 主要推动组织:NTIA,2018/6/6起,启动软件组件透明度计划Software Component Transparen
4、cy 主要协议组织 Linux Fundation:SPDX ISO/IEC:SWID 19770-2 OWASP:CycloneDX CISQ&OMG:3T-SBOM 相关标准 OpenChain ISO 5230:软件供应链管理需要SBOMSBOM 在OpenSSF的SLSA(软件制品的供应链级别,Google捐赠),S2C2F(开源软件安全供应链消费框架,微软捐赠)均作为必要指标p软件供应链安全框架动向p OpenSSF SBOM Everywhere动员计划:Level 1 clients and SDKs:操作系统和构建系统无关的命令行解释器(CLI),生成SBOMLevel 2 p
5、ackage manager plugins:一组插件或模块,可在本地与主要包管理器和存储库(如 Maven、npm)一起工作生成SBOMLevel 3 native package manager integration:通过向主要包管理器添加native SBOM 生成功能Level 4 containerization integration,容器化整合:通过将native SBOM 生成功能添加到容器化构建过程Level 5 application/solution integration/deployment:当部署由多个不同组件(容器,machine images,event dr
6、ivenservices)组成的应用程序时,协调管理器聚合构成的 SBOMS 以反映已部署的所有组件成分openEuler供应链安全探索SBOM基于CI产生:CI/CD自动产生,针对不同的包管理机制、操作系统等提供多样化的SBOM采集工具第三方应用支持SBOM:业界典型开源管理、安全管理、供应链软件管理工具,支持SBOM数据格式应用openEuler已经实现SBOM的全面落地单软件的SBOM元数据详情如下为openEuler-22.03-LTS-everything-x86_64-dvd.iso依赖的16818个软件列表及其基本信息。openEuler已经初步实现了SBOM的全面落地如下为hi
7、ve-3.1.2-3.oe2203.rpm的详情信息包括软件名、版本、来源信息、供应商、下载地址、供应商、软件描述等如下为hive-3.1.2-3.oe2203.rpm的License详情和漏洞详情列表,包括License合规性、漏洞编号、漏洞评分、漏洞向量等,并支持跳转到License和漏洞的引用链接单软件的License与漏洞详情单软件正向全链路追溯:软件包自身组件传递性依赖运行时依赖如:hive-3.1.2-3.oe2203.rpm的全链路依赖软件信息,包括36个自身组件、217个传递性依赖和17个运行时依赖openEuler供应链安全探索SBOM下载:支持SPDX/CycloneDX和
8、不同格式的导出openEuler安全技术探索主机安全地址随机化(KASLR.)进程安全(安全隔离、权限最小化)文件系统安全(文件系统隔离 )网络栈安全(iptables)IPC安全(共享内存安全)国密全栈国密算法库国密安全协议国密证书管理可信计算静态完整性度量(IMA,)运行时完整性度量(DIM,)安全启动度量启动可信根 RoT(TPM/TCM/TPCM)openEuler安全技术栈高安全:围绕“可信计算、机密计算、国密支持”打造安全可信方案机密计算国密全栈可信计算静态、动态完整性度量:IMA和DIM方案,实现程序启动时和运行时完整性检测和度量安全操作系统(iTrustee):TEE侧安全操作
9、系统,手机机密环境商用近10年,获CC EAL4+认证机密计算框架(secGear):统一安全应用框架和工具,屏蔽安全硬件差异,应用不感知国密身份认证,国密TLS安全传输,国密磁盘加密功能支持,自主可控安全能力全栈TrustZoneARMSGXX86机密计算框架(secGear)可信应用服务机密计算安全操作系统(iTrustee)openEuler安全技术探索:secGear机密计算平台待规划规划中开发框架硬件鲲鹏Trustzone擎天EnclaveIntel SGXSDK Unified APIComponent&Service安全通道secGear Unified Framework远程证
10、明零切换开发工具场景金融风控硬件密码机替代软硬融合全密态数据库AI模型和数据保护CCA/TDX仿真TA已支持通用组件和服务提供通用安全组件和服务软件货架,无需从头造轮子,帮助用户快速构建机密计算解决方案 安全通道:保护用户数据安全传入TEE,如高斯全密态数据库场景保护客户端用户密钥安全传入服务端TEE中,而不被服务端REE侧非法访问。远程证明:鲲鹏安全库提供远程证明服务,支持用户对机密计算程序的动态度量。极简开发体验 开发工具:提供代码生成工具、签名工具等帮助用户实现简易改造,聚焦业务,开发效率提升50%零切换:降低应用REE-TEE拆分带来的性能损耗,如BJCA密码模块SM2签名从2万次/秒提升至22万次/秒,持平中高端加密机。硬件架构兼容屏蔽不同平台SDK差异,提供统一开发接口,实现不同架构共源码。欢迎与openEuler一起探索安全世界2023 WEST LAKEDIGITAL SECURITYCONFERENCE谢 谢THANK U更多资料请关注西湖论剑小程序