在敏捷开发、数字迭代的大趋势下,开源正在成为所有行业越来越青睐的技术,所占的比重也越来越高。据Gartner预测,97%的企业应用程序将依赖于开源的使用,即便是以安全为重的金融行业,开源使用率也已经超过50%。
然而,开源也给企业带来了前所未有的供应链安全风险。Gartner指出,超过70%的应用程序因使用开源组件而产生缺陷和漏洞。很明显,开源技术的大范围应用直接导致软件供应链越来越趋于复杂化和多样化,网络攻击者开始采用软件供应链攻击作为击破关键基础设施的的重要突破口。
2022年,log4j 2漏洞的爆发让无数企业看到了开源技术存在的巨大隐患,而随着开源技术的进一步使用,类似于log4j 2漏洞的大事件必定会以更高频率的不断出现,那时企业安全将面临重大挑战。
此外,由于开源组件大多是由社区自发维护,安全资源投入严重不足,导致开源存在较为严重的安全隐患。据NVD的数据显示,目前已知的开源漏洞已经达到数万个,安全风险正在持续上升,因此开源风险治理已经迫在眉睫。
基于此,3 月 22 日,FreeBuf 企业安全俱乐部·北京站-「开源风险治理实践峰会」将在北京希尔顿逸林酒店举办。峰会将邀请专注于业内开源风险治理技术大拿安势信息创始人& CEO、荣耀终端开源软件管理专家、中兴通讯开源合规&安全治理总监等多位重量级人物,从甲方、乙方的角度出发,畅聊开源风险治理的那些事儿~
议题前瞻
软件成分分析在开源管理中的作用
荣耀终端开源软件管理专家 钟鸣
钟鸣,任职荣耀终端有限公司研发管理部,从事开源软件管理工作,擅长企业级开源遵从合规治理,策略方案制定,工具流程设计。本次分享将围绕着在扫描工具支持下开源软件使用清单输出的主题,结合企业应用实际,介绍软件成分分析在管理开源风险中的重要性。
企业开源安全风险管控
中兴通讯开源合规&安全治理总监 项曙明
项曙明,信通院可信开源供应链资深咨询评估师、开源治理标准专家、可信开源治理讲师和金融开源治理社区技术专家。开源社正式成员,2022年中国开源先锋33人之心尖上的开源人物。本次分享将介绍在企业层面如何构建有效的开源安全风险管控机制,形成内驱力,推动组织和项目团队积极进行开源安全治理和风险应对实践。
企业如何打造开源合规数字底座
安势信息架构总监 朱贤曼
朱贤曼,就职于安势,致力于为客户提供业界名列前茅的开源合规治理解决方案和咨询服务,助力企业构建开源合规一体化的治理能力。本次分享主要介绍在企业层面如何利用数字化工具有效且高效地进行开源合规治理,如何低成本地搭建适合企业的开源合规治理体系。
报名活动火热进行中
3 月 22 日,FreeBuf 企业安全俱乐部·北京站将在北京希尔顿逸林酒店正式举行,本次活动以“重塑,让安全生产价值”为主题,共设有「 数字化安全合规论坛」「零信任安全论坛」「安全验证与安全运营实践论坛」「 开源风险治理实践峰会」四个分论坛和四大圆桌,届时将邀请来自网安行业的知名技术专家,意见领袖和企业安全负责人,齐聚北京,为安全从业者奉献一场精彩的安全知识盛宴。
目前,报名活动已进入火热阶段,名额有限,先到先得,有意相聚北京的安全同仁们,快点击链接或扫描下方二维码报名吧!
【PS.已报名参会用户无需再次报名,主办方将于会前3天审核信息,并给审核通过的用户发送签到短信。】
关于FreeBuf 企业安全俱乐部
FreeBuf是国内关注度较高的网络安全行业门户,同时也是爱好者们交流、分享技术的优异平台。FreeBuf企业安全俱乐部致力于为企业信息安全体系建设,企业信息安全管理提供交流平台。通过FreeBuf线上媒体平台、FreeBuf企业精品公开课、FreeBuf企业安全俱乐部品牌沙龙、培训会等形式,推动信息安全生态圈建设。
文章来自:https://www.freebuf.com/