龙蜥社区漏洞管理治理策略与实践
开源软件漏洞治理是构建龙蜥操作系统安全基石的重要一环。本次分享聚焦龙蜥社区的安全漏洞管理体系及其治理策略,包括漏洞情报感知收集、威胁分析与风险评估、漏洞修复及公告披露等流程。同时简单介绍社区在漏洞治理协作上的初步实践,探讨社区漏洞治理未来的优化方向。
龙蜥社区漏洞管理治理策略与实践
开源软件漏洞治理是构建龙蜥操作系统安全基石的重要一环。本次分享聚焦龙蜥社区的安全漏洞管理体系及其治理策略,包括漏洞情报感知收集、威胁分析与风险评估、漏洞修复及公告披露等流程。同时简单介绍社区在漏洞治理协作上的初步实践,探讨社区漏洞治理未来的优化方向。
开源社区漏洞治理策略与实践
开源软件供应链非常复杂,存在大量的攻击点,谷歌和微软分别给出了开源供应的 SLSA 框架和 S2C2F 框架,里面存在着漏洞攻击、投毒、过程篡改等风险,加之代码开源漏洞更加透明且容易获取。本次分享聚焦供应链漏洞治理,通过成分分析建立 BOM 体系,识别社区研发过程各个环节风险,通过工程能力提升社区漏洞感知、漏洞可达、漏洞修复,E2E 处理漏洞能力。
阿里云 Confidential AI 最佳实践
为缓解用户对 AI 模型上云产生的隐私与合规问题,阿里云 Confidential AI(CAI)实现了一种覆盖模型数据生命周期的端到端通用框架,揭示了机密计算在 AI 系统安全方面的重要价值。未来,CAI 将利用远程证明体系提供基于软件供应链的可验证代码透明度,为用户提供独立验证 CAI 隐私和安全保证的能力。