近日,以“平安之舟:构建安全无忧的龙蜥家园”为主题的龙蜥操作系统大会全面建设安全生态分论坛圆满举办。分论坛上,来自阿里云、Intel、AMD、Arm、海光、浪潮信息、统信软件、南湖实验室等国内外知名厂商的 14 位专家学者共同探讨系统安全、网络安全、数据安全及威胁响应等用户关注的焦点问题。分论坛上还设置了圆桌论坛,来自 Intel 安全软件与服务部首席工程师王立刚 、海光安全副总裁应志伟 、AMD 中国区数据中心市场及业务发展总监曲大健 、Arm 公司代表杨喜乐 、龙蜥社区机密计算 SIG Owner 张佳等 5 位安全专家探讨大模型时代下机密计算技术的挑战、机遇及未来发展。
(图/全面建设安全生态分论坛合照)
龙蜥社区安全委员会主席、阿里云基础软件产品线资深技术总监龙勤开场致辞,总结了过去一年龙蜥社区在安全方面的工作,包括安全加固、全栈国密、可信计算等核心的技术领域的投入;开源软件供应链在 SBOM、软件信息中心、CVE 安全中心等方面的安全建设。有一个里程碑事件是联合安全厂商、平台厂商、科研院所成立龙蜥安全联盟,并发布了 OASA 安全适配认证计划,结合龙蜥社区进行兼容适配和深度融合。龙勤也希望在本场论坛中,通过聚焦于共同促进操作系统产业安全生态的发展,深入合作和交流,找到切实可行的途径巩固社区产品的安全防线。
(图/龙蜥社区安全委员会主席、阿里云基础软件产品线资深技术总监龙勤)
在机密计算圆桌对话中,邀请到 Intel 安全软件与服务部首席工程师王立刚、AMD 中国区数据中心市场及业务发展总监曲大健、Arm 公司代表杨喜乐、海光安全副总裁应志伟、龙蜥社区机密计算 SIG Owner 张佳,共同分享对机密计算领域的观察和思考,CoCo 社区 Maintainer 马丁作主持人。
(图/自左到右-CoCo 社区 Maintainer 马丁、Intel 安全软件与服务部首席工程师王立刚、AMD 中国区数据中心市场及业务发展总监曲大健、Arm 公司代表杨喜乐、海光安全副总裁应志伟、龙蜥社区机密计算 SIG owner 张佳)
在圆桌讨论中,王立刚介绍英特尔在保障平台安全和数据安全的两个安全领域的思路,以及 SGX 和 TDX 这两种保障运行时数据安全的基于硬件的安全技术,指出开源是机密计算成功的必由之路,希望未来机密计算服务触手可及,数据共享安全通畅。
曲大健首先分享 AMD 对 SEV、SEV-ES、SEV-SNP 等产品的投入,随后提出,机密计算的推广需要立足龙蜥社区,通过技术、开源设计和社区传播的努力,让机密计算应用更快更好地走向大众。
杨喜乐介绍 Armv9 架构中的 CCA 特性,以及实现机密计算技术的普惠性、可扩展性和开放透明性的设计理念,指出 Arm 公司的技术不仅用于云计算,还可用于边缘计算和手机侧,并且,机密计算应该成为 AI 时代的安全底座,龙蜥社区成为机密计算落地的前沿阵地。
应志伟从国产CPU厂商的角度,介绍海光 CSV3.0 中多项提升机密计算安全性的创新,针对推广机密计算过程中遇到的生态、客户培育和标准等问题作出解答,并提出,基于开源的解决方案是应对安全问题的关键。
张佳介绍龙蜥社区打造机密计算开源方案样板间的合作模式,还讨论机密计算和数据合规的问题,强调开源对机密计算的必要性。最后,张佳呼吁国内的机密计算的开发者通力合作,快速把国产化的机密计算推到高峰。
龙蜥社区可信计算 SIG Owner、浪潮信息操作系统安全专家吴保锡带来《操作系统内生安全探索与创新》的演讲分享。吴保锡介绍浪潮信息 KeyarchOS 在操作系统内生安全方面的探索和实践,从系统安全可信、数据安全服务和安全左移等角度,强调内生安全的重要性。
(图/龙蜥社区可信计算 SIG Owner、浪潮信息操作系统安全专家吴保锡)
龙蜥社区机密计算 SIG Maintainer 张家乐带来《龙蜥机密计算远程证明服务(OAAS)》的演讲分享。张家乐介绍龙蜥社区机密计算推出的最新社区产品——服务化的远程证明服务中心 OAAS。OAAS 具有极高的安全性和灵活性,并在内部实现了策略引擎,旨在为使用可信执行环境 (TEE) 的用户提供一个安全高效的远程证明免部署解决方案,满足在各类机密计算应用场景下的核心信任需求。
(图/龙蜥社区机密计算 SIG Maintainer 张家乐)
龙蜥社区供应链安全架构负责人郑耿,以及阿里云技术专家、龙蜥攻击面管理技术负责人周彭晨,联袂呈现了一场关于《龙蜥可信软件物料清单(SBOM)能力探索与实践》的演讲。郑耿在演讲中首先阐述了龙蜥社区在构建 SBOM 基础能力方面所做的努力,并从准确性、可验证性、完整性以及来源的可信度四个关键维度对“可信 SBOM”的概念进行了详细的界定。接着,通过与开源社区在此领域的实践经验相结合,他深入探讨了龙蜥社区在建立健全可信 SBOM 能力所必须开展的相关工作。随后,周彭晨对当前数字签名技术在供应链各个阶段的成熟度进行了评估,并针对软件供应链各个阶段出现的签名服务短板进行了总结。基于这些发现,他提出了社区目前正在开发的项目——专门服务于软件供应链的统一签名服务。该服务设计理念突出了简单性、透明度、安全性和高度集成性,旨在为龙蜥软件供应链的安全性提供坚实的支持。
Intel 先进软件事业部云开发工程师胡志明通过远程分享了《公有云机密计算中的 TDX 架构》的主题演讲。胡志明分享了公有云机密计算下的 Intel TDX 架构,他介绍了 Intel TDX 总体架构的规划和布局,并介绍了公有云中 TDX 确保安全性和机密性的方法。第一,TDX 采用 MKTM 和 CPU 的 SEAM 模式这两个技术点提供硬件层面的支撑;第二,TDX 依托四大组件和远程证明在软件层面提供支撑。
(图/Intel 先进软件事业部云开发工程师胡志明)
龙蜥社区基础设施 SIG Contributer、阿里云技术专家陈宇翱带来《CVE 响应工程体系》的演讲分享。陈宇翱介绍了龙蜥社区 CVE 响应工程体系,包括漏洞感知、评估、定级、修复、披露等自动化工程系统,还包括 CVECenter、ANAS、自动化修复、以及相关的工单、构建等等流程涉及到的工程子系统。
(图/龙蜥社区基础设施SIG Contributer、阿里云技术专家陈宇翱)
统信软件安全技术部高级研发工程师覃芝锛带来《操作系统安全加固实践》的演讲分享。覃芝锛带在分享中介绍了操作系统安全加固的实践,包括系统安全的重要性和实际案例,系统被入侵的威胁和相应的应对方法。同时还介绍了统信使用的安全套件和加固工具,以及定制基线和安全加固的整体流程。
(图/统信软件安全技术部高级研发工程师覃芝锛)
南湖实验室研究员严志超带来《基于龙蜥机密计算的多领域应用解决方案介绍》的演讲分享。严志超分享在龙蜥机密计算底座提供的机密虚拟机、机密容器、远程证明服务,密钥管理服务等核心能力赋能下,实现的如多方数据安全融合、大数据跨域可信分享、IP 保护等芯片级隐私计算解决方案及其在各领域的落地经验。
(图/南湖实验室研究员严志超)
附部分《龙蜥可信软件物料清单(SBOM)能力探索与实践》、《龙蜥机密计算远程证明服务(OAAS)》分享 PPT:
更多视频回放、课件获取:
2023 龙蜥操作系统大会直播回放及技术 PPT上线啦,欢迎点击下方链接观看~
回放链接:https://openanolis.cn/openanolisconference
技术 PPT :关注龙蜥公众号【OpenAnolis 龙蜥】,回复“龙蜥课件”获取。
