因 5G、AIoT、工業 4.0 應用爆發,電腦化、數位化和智慧化的轉型讓供應鏈攻擊事件不斷發生,導致近年來供應鏈資安已成為全球皆關注的議題。而開源軟體 (Open Source Software) 在這幾年成為資通訊領域的主流趨勢,舉凡從 5G (ORAN)、區塊鍊、 AI、Cloud、到嵌入式設備等等,從應用層到 driver 層都已經被大量使用。從消費端到工業應用,業界已非常頻繁的使用開源軟體作為元件來整合或進行二次開發。於是乎,如何打造開源安全供應鏈就是個非常重要的課題。
Linux Foundation 官方專案 OpenChain 致力打造一個可提供開源信任且合規一致性資訊的供應鏈。 OpenChain 在 2020 年發布了 ISO/ IEC 5230 OpenChain 國際標準,透過流程管理規範,用於識別應存在組織流程、政策或培訓的內外出入口。搭配 Software Bill of Material (SBOM) 來識別和追踪使用和實際產出部署的軟體之合規狀態。因為此流程可有效識別和追踪使用和實際產出部署的開源軟體,於是 OpenChain 將涵蓋的範圍延伸到安全以及出口控制,並且在今年發布了 OpenChain 開源軟體安全保證參考規範。
OpenChain 開源軟體安全保證參考規範內容注重論述 “What” 跟 “Why”,而不是深入研究 “How” 和 “When”,以確保任何規模和任何市場的公司都可以彈性地使用此參考規範。其內容包含檢查開源軟體與相關安全漏洞、GitHub/GitLab 漏洞報告等公知的安全漏洞。
此次分享,SZ 會介紹 OpenChain 開源軟體安全保證參考規範的關鍵要求,組織可透過相關要求打造開源安全供應鏈,並在不同組織間建立信任以交換由開源軟體組成的解決方案。
About 林上智 (SZ Lin)
SZ 目前於 Bureau Veritas 擔任 Expert 一職, 從事 OT 資安標準導入以及稽核評估。SZ 在 ICS/OT 網路安全(ISA/IEC 62443、TS 50701)、IIoT 安全、安全軟體開發生命週期 (SSDLC) 方面擁有 10 年以上的經驗。SZ 長期耕耘開源軟體以及資安領域,現為 Debian 官方開發者,長期在開放原始碼資安軟體團隊中進行維護及開發,其中也包含來自 Ubuntu,Kali Linux 開源軟體套件。
此外,SZ 曾為 Linux 基金會官方專案 Civil Infrastructure Platform ( 城市基礎設施平台 ) 技術指導委員、CIP Linux kernel workgroup 主席、 以及 ISO / IEC 5230 OpenChain 董事會成員。
SZ 曾在多場國際會議中發表技術演講,如 Cybersec 2022, HITCON Pacific 2021, Embedded Linux Conference, Embedded Linux Conference Europe, Open Source Summit Japan, Open Source Summit China and Industrial Control Systems (ICS) Cyber Security Conference APAC. 等等。