墨菲安全成功举办首届 OSCS 软件供应链安全技术论坛

10月29日，作为OSCS社区的创始成员，墨菲安全在北京中关村创业街成功举办了首届OSCS技术论坛。本次论坛结合Thinking、CSDN、OSChina、51CTO、InfoQ、IT168等媒体和社区的深度合作，吸引了3万余名观众，与中国信息通信研究院、知名开源专家谭1.Ant、Fast Hands安全专家和墨菲安全技术专家共同参与开源项目安全治理，软件供应链安全系统建设，分享企业软件供应链安全最佳实践。感谢众多媒体、企业、开源社区和所有对OSCS感兴趣的小伙伴的大力支持，会议圆满举行。Murphy Security的创始人、OSCS开源社区的创始人Huapeng Zhang简要了解了软件供应链安全的概念、背景和风险。根据十多年的安全建设经验，分析了软件供应链安全的现状和企业面临的问题。通过实例生动地阐述了供应链安全的普遍应用和价值。OSCS提倡在软件供应链的这一长环节中，让所有开源项目更加安全，让所有开发者都能更安全地使用所有开源项目，期待一个更健康、更安全的开源生态系统。

张华鹏，Murphy Security创始人，OSCS开源安全社区创始人2，主题回顾中国信息通信学会云大研究所开源与软件安全司副主任郭雪，就软件供应链安全研究的背景和软件供应链安全标准系统构建的研究内容进行了分析。对软件供应链安全生态建设的行业治理现状提供了独到的见解和分析。

中国信息通信研究院云戴研究所开源软件安全部副主任谭洁从国际角度介绍了开源供应链的背景知识和具体案例，介绍了当前国际环境下开源供应链面临的风险和挑战。我们讨论了如何按照国际标准开放链构建安全的软件供应链。

第四范式架构师、开源专家、OpenChain中国工作组联合创始人谭礼忠表示，从过程控制、研发生命周期、风险检测、深度防御等方面，为蚂蚁集团提供软件供应链安全建设、解决供应链安全风险，介绍了Log4j漏洞处理的经典案例分析。

Ant Group高级安全专家、Ant Group应用安全产品中心负责人欧阳强斌了解了当前安全风险的现状，从供应链到软件供应链，并就软件供应链安全的过去、现在和未来进行了探讨。我们将分享Murphy Security如何构建最实用的软件供应链安全产品。简要分析了软件供应链安全的核心技术原理和解决方案，并介绍了相关企业风险管理实践的思路。

Murphy Security联合创始人、Murphy Security实验室负责人欧阳强斌通过快速安全团队的实际实践经验，向大家介绍了如何对第三方软件进行资产识别，并学习了如何对第三方软件的来源、安全评估、部署和分发流程进行管理。本文介绍了如何通过在操作维护期间监控来提高第三方软件的安全性。

3.论坛共享论坛由章华鹏主办，邀请李孟、仙翁科技大数据架构师、Apache Linkis Committer等。陈燕，蚂蚁集团高级安全专家，小米信息安全与隐私部门负责人王树凯（从左到右）参加了论坛。目前软件供应链的安全性是一个大话题，国内已经提到了SCA和开源安全治理，国外也提到了更先进的概念，比如基于Sigstore技术的软件持续安全验证产品Chainguard。软件供应链也是近两年的突然关注，包括最近欧美国家，都出台了软件供应链安全相关法规，美国白宫备忘录要求供应商进行自我认证安全，欧盟则需要提供产品SBOM，否则，..。可以罚款高达1500万欧元或全球营收的2.5%，我们有不同的角色来讨论上述问题和全球软体供应链安全治理的方向，未来的发展趋势。

Huapeng Zhang，Murphy Security创始人，OSCS开源安全社区创始人（左一）

Apache Linkis Committer，Xianeng Technology大数据架构师（左二）

蚂蚁集团高级安全专家郑燕（左三）

小米信息安全与隐私负责人王树凯（右一）关于OSCSCSCS的技术能力Murphy Security为开发者、开源项目等免费提供三方组件安全检测、许可证合规性评估等功能，并提供客户端、GitHub、IDEA插件等多种检测方法。目前，客户端工具（murphysec）在GitHub上开源，同时支持快速方便地与Gitlab、Jenkins CICD进程集成，目前Java、JavaScript、Golang、Python、PHP、C#、Ruby、目标-C、.支持NET等语言项目的检查。OSCS社区共同致力于社区安全白帽，以使所有开源项目更加安全，并使所有开发人员能够更安全地使用开源项目。OSCS提供了及时检测开源社区安全风险和一键PR的能力，希望更多的开发者参与到开源安全中，构建一个安全、可持续的开源生态系统。加入OSCS，为开源安全做出贡献。