SIG-compliance 双周例会: 时间:2022年11月10号 10:00-12:00 会议主持人:郑志鹏 与会者(请与会者在下面添加您的姓名):高琨、刘波、魏建刚、王悦良、付善庆、芶新易、陈一雄、黄河清、王泽俊、刘阔、彭业诚、陈悦、丁紫薇、杜奕威、王春力、执委、魏云博、杨潇、chendexi、xp、yz、benteng、邢鹏、汤乘畅、毛周、李剑、李沐阳、谢炜、caodongxia、Wenlong Sun、丁欣、赵岳峰、张超、Feng Wang、路明、Xin Liu 下次例会时间:2022年11月24号 10:00-12:00 下次例会主持人:杨聪
议题: 1.基于SBOM的开源社区软件供应链安全解决方案 刘波 2.按“合规SIG组License准入审阅流程”申请对Linux-OpenIB 审阅 汤乘畅 3.按“合规SIG组License准入审阅流程”申请对BSD 3-Clause Modification 审阅 陈一雄
会议纪要: 1.基于SBOM的开源社区软件供应链安全解决方案
在大规模软件产品中要分清楚依赖关系, 可以建立软件的正反向依赖关系全链路可追溯
检测和修复软件供应链攻击前提是需要建立现代化DevSecOps软件工程体系,从依赖分析——>License分析——>漏洞分析等均需要从人工排查到自动化
当前SBOM软件供应链存在两大难点:识别软件精准依赖、开源软件本身源数据信息采集
SBOM使用场景为软件供应链安全管理,安全漏洞管理、安全应急响应,高可信安全应用管理,能帮助软件生产商、购买者和运营商更高效地识别软件成分、排查License风险/合规风险/安全漏洞影响风险、履行义务声明等
SBOM服务源码仓:https://github.com/opensourceways/sbom-service
SBOM在线服务地址:https://sbom-service.osinfra.cn/#/sbomPackages
2.按“合规SIG组License准入审阅流程”申请对Linux-OpenIB 审阅 汤乘畅:Linux-OpenIB与BSD-2相比在断尾存在差异,BSD-2的描述更加精确,涉及的场景更多。但是整体两者表达的意思是趋近的,整体上都是表达代码作品以及共享者不对这些代码产生的后果负有任何形式的责任 王悦良:Linux-OpenIB相近与BSD-2,许可证本身是宽松的,赞同审阅为oE认可 魏建刚:赞同将Linux-OpenIB审阅为oE认可 高琨:赞同将Linux-OpenIB审阅为oE认可
Linux-OpenIB审阅为oE认可 投票结果——通过 投票情况: 马全一: 高琨:同意 魏建刚:同意 郑志鹏:同意 杨聪:同意 许渊聪: 王悦良:同意 张伟:同意
3.按“合规SIG组License准入审阅流程”申请对BSD 3-Clause Modification 审阅 陈一雄:BSD-3-Clause Modification 相比BSD-3-Clasue 多了修改之后要声明的条款,该条款在Apache-2.0、GPLv2、GPLv3里都是有类似的条款,所以认为较低风险 王悦良:赞同将BSD-3-Clause Modification审阅为oE认可 魏建刚:赞同将BSD-3-Clause Modification审阅为oE认可 高琨:BSD-3-Clause Modification审阅为oE认可
BSD-3-Clause Modification审阅为oE认可 投票结果——通过 投票情况: 马全一: 高琨:同意 魏建刚:同意 郑志鹏:同意 杨聪: 同意 许渊聪: 王悦良:同意 张伟:同意
基于SBOM的开源社区软件供应链安全解决方案材料:https://www.openeuler.org/zh/blog/robell/openEuler_SBOM_Practice.html