文 / 平安委员会
近日,龙蜥社区联结启明星辰、绿盟、360、阿里云、统信软件、浪潮信息、中兴通讯|中兴新支点、Intel、中科院软件所等 23 家单位正式成立了龙蜥社区平安联盟(OASA,OpenAnolisSecurityAlliance)。龙蜥社区平安联盟是促成产业单干的非营利组织,致力于打造中立凋谢、聚焦操作系统信息安全的交流平台,推动龙蜥社区乃至整个产业平安生态的体系化建设。
龙蜥社区曾经建设起从破绽感知、评估,到破绽修复、披露的全生命周期闭环的安全漏洞治理流程体系。社区针对最新平安威逼进行及时的跟踪与危险评估,制订齐备的破绽修复策略。并根据威逼等级公布安全更新,帮忙龙蜥用户及时修复安全漏洞,全面晋升系统安全。
01 破绽感知
社区通过被动跟踪业界出名破绽库、平安论坛、邮件列表、平安会议,以及与出名第三方破绽情报感知服务单干等多种渠道,以保障第一工夫感知到 Linux 操作系统相干破绽信息,并通过建设齐备的,笼罩龙蜥全线产品的破绽库,以保障无效的记录、追踪和闭环每个安全漏洞。
02 破绽评估
社区基于业界通用的 CVSS 评分框架,交融龙蜥操作系统成熟的软件包“分层分类”实践,建设起基于危险的安全漏洞管理体系,多维度对破绽进行威逼危险及重大级别的评估。根据破绽在理论业务环境中龙蜥产品被利用的危险,来制订具体的破绽修复策略与应答策略。
03 破绽修复
社区欠缺的破绽修复与验证流程,平安可信的构建体系和品质管理体系,可能无效地保障安全漏洞在预约的服务工夫内实现响应与修复。
04 破绽披露
社区秉承对用户负责的破绽修复与披露准则,在合乎业界标准和政策法规的前提下,通过社区官网平安门户公布龙蜥平安布告(ANSA),以及邮件订阅等多种途经,及时向龙蜥用户及上游生态推送破绽缓解和修复计划与倡议,帮忙用户及时修复破绽,缩小平安危险。截止目前,社区曾经收录的破绽信息和公布的安全更新对社区开发者和用户全网公开,并造成社区共建能力。
05 龙蜥 CNA
社区曾经胜利退出 CVE.org 组织,成为 CVE 编号受权机构。社区踊跃与合作伙伴开展平安单干,先后发现并申报了多个 Linux 零碎相干的 CVE,并为相干破绽赋予编号。社区也欢送宽广社区爱好者、系统安全畛域相干的集体和组织,通过龙蜥社区上报安全漏洞 (security@openanolis.org),独特保护社区平安。
更多龙蜥白皮书精选内容,点击这里查看。
相干链接:
龙蜥平安委员会主页:https://openanolis.cn/sig/security-committee
龙蜥平安布告(ANSA):https://anas.openanolis.cn/errata
更多龙蜥技术个性解析可移步《龙蜥个性百科》:https://anolis.gitee.io/anolis_features/
2022 龙蜥社区全景白皮书(或公众号【OpenAnolis 龙蜥】回复关键字“白皮书”获取)https://openanolis.cn/openanoliswhitepaper
—— 完 ——