近日,龙蜥社区系统安全 MeetUp 圆满结束,来自 Arm、阿里云、海光、Intel、统信软件、AMD、达摩院、蚂蚁团体、中科微澜及北京大学等 42 位专家、学者和意见首领加入了本次流动。会上正式公布《商用明码技术最佳实际白皮书》和《云原生秘密计算最佳实际白皮书》两大龙蜥社区操作系统平安白皮书,致力于帮忙宽广面临 OS 平安问题的用户深刻理解操作系统标杆产品实际,让业务翻新与技术摸索有安全可靠的基座,为 OS 平安行业奉献龙蜥力量。
(图 / 龙蜥社区系统安全 MeetUp 现场合照)
会议伊始,龙蜥社区平安委员会主席、阿里云资深技术专家龙勤分享了龙蜥社区平安委员会的定位与布局,总结了龙蜥社区几大平安技术 SIG 的工作成绩,并示意,“作为龙蜥社区规划与布局的八大技术方向之一,构建从硬件到云原生的全栈平安技术体系,保障用户操作系统的平安可信,让业务翻新和技术摸索领有安全可靠的基石,将是龙蜥社区平安委员会和平安技术 SIG 的独特指标。”
(图 / 龙蜥社区平安委员会主席、阿里云资深技术专家龙勤)
随后,龙蜥社区平安委员会 Contributor、统信软件服务器操作系统与云计算产线平安研发经理曹佩庆,为现场嘉宾带来《UOS 系统安全架构简介》主题演讲,与大家独特探讨统信操作系统平安体系架构,以及重点关注的平安倒退方向。
(图 / 龙蜥社区平安委员会 Contributor、统信软件服务器操作系统与云计算产线平安研发经理曹佩庆)
龙蜥标准化 SIG Owner、阿里巴巴标准化部总监刘大鹏,达摩院技术专家郑耿分享了《标准化助力龙蜥社区标准及平安倒退》。
(图 / 龙蜥标准化 SIG Owner、阿里巴巴标准化部总监刘大鹏)
刘大鹏为大家具体介绍了龙蜥社区标准化 SIG 及正在制订的标准。标准化 SIG 的指标是联结 Anolis OS 生态搭档独特制订 Anolis OS 的工程规范并确保社区产品合乎行业国家相干的规范,确保 Anolis OS 在产业链上下游应用的兼容性、一致性,助力 Anolis OS 凋敝生态建设。标准化 SIG 制订的龙蜥社区治理标准,通过在龙蜥社区中引入软件物料清单等内容,促成龙蜥社区标准、平安倒退,后续将会与龙蜥社区平安相干 SIG 严密单干进行标准落地。
(图 / 达摩院技术专家郑耿)
开源供应链平安是近些年平安畛域的热门话题。针对开源供应链的攻打有着攻打面广、影响面大、防备难度低等特点。郑耿分享了龙蜥社区如何通过标准化伎俩治理社区,晋升社区透明性和安全性的实际。龙蜥平安团队通过和标准化 SIG 的单干,以社区标准的模式引入了社区 SBOM 标准,为后续通过 SBOM 去晋升软件的透明性,排查软件合规危险、晋升安全事件响应效率打下了松软的根底。
龙蜥破绽治理负责人、阿里云技术专家张世乐,中科微澜王宁做了《龙蜥破绽管理体系》主题演讲。
(图 / 龙蜥破绽治理负责人、阿里云技术专家张世乐)
安全漏洞治理是操作系统平安防护的重要组成部分,张世乐在演讲中向嘉宾介绍,龙蜥社区已建设基于危险的安全漏洞治理流程,从安全漏洞情报感知,威逼剖析与危险评估,到破绽修复,平安布告公布全生命周期的管理体系。龙蜥社区现已获取 CNA 资质,并胜利申报多个 CVE,也积极开展社区平安单干,与多个平安组织及三方平安厂商在破绽扫描与破绽开掘上开展单干,共建龙蜥平安生态。
(图 / 中科微澜王宁)
随后王宁示意,在破绽治理畛域,因为破绽基数宏大,破绽获取路径简单等起因,开源社区在进行破绽治理须要较大的人力和资源老本。openBrain 开源破绽感知零碎是依靠破绽情报自动化获取、知识化与智能剖析等技术而造成新型平安基础设施,openBrain 在开源社区的利用摸索证实了其在开源我的项目破绽治理过程中具备很高的价值,可能在升高人力投入的同时极大晋升开源社区平安保障能力,解决破绽治理过程中简单辣手的问题,让破绽治理变得轻松简略。
(图 / 蚂蚁团体密码学技术专家、铜锁社区 Maintainer 张成龙)
蚂蚁团体密码学技术专家、铜锁社区 Maintainer 张成龙分享了《基于铜锁明码库构建国密生态》,为现场嘉宾具体介绍了铜锁社区在构建国密生态中获得的停顿和将来的布局,以铜锁明码库为根底,构建国密零碎工具,包含 wget、curl、wrk 等,反对网络库、网络中间件等网络基础设施的国密性能,包含 Tengine、MOSN 等,以及构建国密多语言生态,包含 Java、Python 等,并将这些国密生态子项目开源,同开源社区开发者一起携手共建,助力国密生态建设。
(图 / 龙蜥商密软件栈 SIG Contributor、ARM(中国)资深技术专家方方明)
随着国密算法在国内推广,国密算法的利用场景越来越多,这也对国密算法的性能提出了更高的要求。龙蜥商密软件栈 SIG Contributor、ARM(中国)资深技术专家方方明做了《基于 Arm 架构的国密优化》主题演讲,重点介绍了国密算法 SM3 和 SM4 的基本原理。首先,方方明从 Arm 架构的演进登程,分享了 Arm 架构对于国密算法的指令反对,以及应用相干指令 在 OpenSSL/Tongsuo 上的性能优化实际,并通过数据体现出 Arm 平台在国密算法上的性能劣势,最初总结了 Arm 在 OpenSSL,ISA-L 和 ipsec-mb 我的项目上对国密算法所做的优化和奉献。
(图 / 北京大学研究员关志)
自我国商用明码规范于 2012 年公布以来,国内外明码次要应用领域已产生微小的倒退和变动,北京大学研究员关志分享了《国密算法扩大与 GmSSL 3.0 的新个性》。报告针对以后明码利用倒退现状,从明码标准化和明码技术演进等角度开展探讨,内容波及明码算法和实现的新型平安威逼、明码算法的新型计算运行环境和明码算法的新利用场景,在此基础上剖析了国密算法的技术需要和倒退方向,介绍了 GmSSL 我的项目在国密隐衷签名、零常识证实、抗量子算法等方面引入的新个性,以及国密算法在新利用场景下的技术挑战。
(图 / 龙蜥社区云原生秘密计算 SIG Owner、达摩院高级平安专家张佳)
龙蜥社区云原生秘密计算 SIG Owner、达摩院高级平安专家张佳向现场嘉宾分享了《CNCC SIG 去年成绩和将来布局》,介绍了龙蜥社区秘密计算 SIG 在去年获得的成绩与总结,并瞻望了 2023 年秘密计算 SIG 在秘密互联与供应链平安服务的重点工作。
(图 / Intel 系统软件架构师杜凡)
应用程序层面的 TEE 平安爱护技术 SGX 有着成熟的软件栈和利用场景落地案例,从第三代至强服务器 IceLake 开始反对单 socket 最大 512GB EPC 容量,可能无效撑持大内存 SGX 业务模型。配合 EDMM 性能帮忙 SGX 业务动静增加 EPC 内存,无效晋升 EPC 资源的利用率。Intel 系统软件架构师杜凡带来《龙蜥社区 Intel 平安性能概述》精彩分享。SGX 在龙蜥社区中目前也有强劲的反对来匹配上游 Linux 的性能。以应用程序层面的 TEE SGX 为终点,Intel 也致力于提供虚拟机层面的 TEE 技术实现 – Intel TDX (Trust Domain eXtension),TDX 提供爱护虚拟机内存和 CPU 寄存器状态的机密性和完整性,可能无效的防护来自不同维度的软硬件攻打,同时做到对应用程序通明无感。将来 TDX 1.5 也减少热迁徙,无缝降级 TDX Module 等更高级性能助力 TDX 产品化落地,最初 Intel TDX 技术路线图也披露了 TDX Connect 架构,剑指 CPU TEE 和设施 TEE 之间的 IO 链路层数据的机密性和完整性,为 TEE 技术拓展更为广大的利用场景!
(图 / Intel 软件工程师俞林)
Intel 软件工程师俞林分享了《Intel TDX 秘密容器》主题演讲。秘密容器(Confidential Containers,CoCo)是云原生计算基金会(CNCF)的一个沙箱我的项目,它通过利用可信执行环境(Trusted Execution Environments)来爱护容器以及数据达到云原生秘密计算的目标。英特尔利用其 TDX(Trusted Domain Extensions)硬件在 CoCo 的根底上为云提供商和租户提供加强的容器、利用以及数据的全链接平安爱护的端到端解决方案。
(图 /AMD 资深云计算架构师宋仲儒)
AMD 资深云计算架构师宋仲儒分享了《利用 AMD EPYC 实现秘密计算》。随着越来越多的业务上云,端到端的全链路可信或秘密正在缓缓成为私有云基础设施的默认要求而不再是一个个性,须要综合利用加密存储、平安网络传输、秘密计算来实现对用户敏感数据全生命周期的爱护。秘密计算是以后业界正在补齐的环节,支流的硬件平台曾经局部提供或正在实现对秘密计算的反对,包含 AMD SEV,AMD SEV-ES, AMD SEV-SNP 等。
(图 / 海光信息安全技术部主任工程师刘子行)
海光平安虚拟化 (CSV) 已演进到三代,为用户数据提供了安全性和完整性的双重爱护。海光信息安全技术部主任工程师刘子行做了《海光秘密计算技术倒退与布局》主题演讲。CSV 通过度量虚拟机初始化镜像保障启动平安,通过内存隔离爱护技术保障运行时数据安全;CSV 提供近程认证机制供第三方校验,认证信息由海光芯片签名。用户通过海光芯片证书服务零碎下载芯片证书链后鉴权证书,可确认运行于真实可信的硬件环境中。海光大力支持龙蜥社区开源工作,已实现平安容器相干性能的反对,后续将持续与龙蜥社区深刻单干,为用户提供更多更好的平安服务。
(图 / Arm 中国高级技术产品经理杨喜乐)
来自 Arm 中国高级技术产品经理杨喜乐分享了《Confidential Computing with Armv9-A》。Arm 的秘密畛域治理扩大 (Realm Management Extension, RME) 架构个性旨在解决用户敏感利用和数据在应用中的平安挑战,实现秘密计算的普惠性。Arm 在 Armv9- A 架构曾经引入了 RME 性能,采纳对应架构的芯片也将领有此项性能。反对 RME 架构个性的 CCA 开源软件组件曾经反对在 FVP (Fixed Virtual Platform) 上进行开发、测试和验证。秘密容器 (Confidential Containers) 我的项目中针对 Arm CCA 的反对也在同步进行中,目前曾经实现了基本功能的启用和验证,基于 Veraison 的 Arm CCA attestation driver 也将会以插件的模式集成到秘密容器近程证实验证服务组件 (Attestation service) 中。
值得一提的是,本次 MeetUp 上重磅公布了两大平安白皮书:
(图从左至右 / 吴保锡、冯浩、张天佳、杨洋)
商用明码承载了国内数据和网络的根底平安使命。会上,龙蜥社区商密软件栈 SIG Owner 张天佳向现场嘉宾具体介绍了《商用明码技术最佳实际白皮书》,该白皮书是商密软件栈 SIG 的技术和案例的积淀做了整顿汇总,筛选其中精髓内容造成。随后,张天佳邀请了海光冯浩、铜锁社区 Maintainer 杨洋、浪潮信息吴保锡 3 位嘉宾独特下台公布《商用明码技术最佳实际白皮书》,从社区、案例、技术全方位介绍了商用明码生态。
(图从左至右 / 张佳、杜凡、宋仲儒、边道京、刘子行)
随着数据资源凋谢共享和数据安全威逼的减少,隐衷爱护云计算成为数据处理的新范式,而秘密计算是实现隐衷爱护云计算的要害核心技术之一。龙蜥社区云原生秘密计算 SIG Owner 张佳向现场嘉宾具体介绍了《云原生秘密计算最佳实际白皮书》,该白皮书是云原生秘密计算 SIG 集平安技术和解决方案的精髓而成。会上 Intel 系统软件架构师杜凡、AMD 资深云计算架构师宋仲儒、Arm 中国边道京、海光信息安全技术部主任工程师刘子行等 4 位嘉宾独特下台公布《云原生秘密计算最佳实际白皮书》,该白皮书将为用户提供开箱即用的秘密计算软件栈,升高秘密计算的应用门槛, 推动云原生场景下的秘密计算技术的倒退。
最初,感激各位嘉宾等加入此次 MeetUp,也感激龙蜥社区和理事单位蚂蚁团体的工作人员与志愿者们的辛勤付出:蔡佳丽、崔开、郝世荣、金美琴、可乐、李艺林、马丁、孙林林、泡椒、夏敏琪、英花、袁艳桃、张家乐、张世乐、张天佳等。
附:
《商用明码技术最佳实际白皮书》下载地址:https://openanolis.cn/shangmi
《云原生秘密计算最佳实际白皮书》下载地址:https://openanolis.cn/confidentialComputing
—— 完 ——