OpenCloudOS社区安全SIG
职责范围 Scope
安全SIG涵盖OpenCloudOS 项目的横向安全计划,致力于打造一个集系统加固、配置安全、监控报警、异常检测、安全审计等一系列功能的安全平台,包括安全漏洞管理、 安全特性和组件开发、跨领域安全文档编辑和安全社区管理。 安全SIG专注于提高OpenCloudOS项目的所有组件的安全性,并作为OpenCloudOS安全的公共关系联络点。 具体表现为:
- 漏洞管理
OpenCloudOS社区非常重视社区版本的安全性,安全SIG与安全应急响应工作组提供漏洞生命周期维护和跟进,对已发布漏洞进行实时收集、修补和下游推送。 同时,我们非常欢迎外界安全研究人员主动对OpenCloudOS社区进行漏洞挖掘,并提交疑似安全漏洞。
- 安全审计
安全审计是查找代码中安全漏洞的方法。在“安全左移”的发展趋势下,代码审计逐渐成为确保代码质量的一个关键环节。安全SIG负责管理经常性的安全审计并跟踪问题, 包括协调其它SIG执行审计并发布结果,与受影响的SIG跟踪问题并帮助协调解决方案。 ● 漏洞缓解:研究漏洞规避技术,开发相关工具,能够在开发工程过程中帮助开发人员避免软件引入安全漏洞。 ● 漏洞挖掘:通过静态分析和模糊测试挖掘潜在的漏洞,构建全面的漏洞挖掘套件,能够对系统、组件以及应用库进行主动漏洞挖掘。 ● 漏洞修复:研究先进的漏洞修补技术,确保能够方便的对用户生产环境进行漏洞修补。
- 内核加固
在内核层提供安全缓解机制并提供相关模块的运营,包括 ● 内核安全特性开发 ● 硬件安全特性的支持 ● 应用攻击的检测和防御
- 安全监控架构
建立全面的集CPU、网络、文件、进程等指标为一体的安全监控平台,为检测系统内异常行为安全工具提供规范的获取接口,并提供进程溯源、进程、文件和网络处置的能力,供上层安全工具使用。 此外,基于系统层提供的能力,开发安全工具集,与OpenCloudOS配套提供安全能力。可具备的能力包括: ● 弱配置检测,并自动关联修复建议; ● 威胁向量汇总和综合分析,提供联合检测能力; ● 自动化溯源,能够根据进程间关系、网络流量映射、漏洞情况,对攻击进行画像和溯源; ● 威胁处置,能够对恶意程序进行消除,并修补相关漏洞。此外,对外提供应用程序库,用户可以方便的进行二次开发和使用。
- 安全文档维护
编写和维护跨领域的安全文档,例如加固指南和安全基线。寻找和协调其他sig中的专家,为文档提供信息。主要文档类型包括: ● 加固指南和最佳实践 ● 安全标准 ● 安全漏洞分析和报告 ● 改进文档以解决常见的误解或问题
成员
各成员之间排名不分先后, SIG 小组内部的运营和治理由SIG组长负责
● 白波 ● 刘春 ● 张海全 ● 宁固(中科方德) ● 符鹏飞(上海交大) ● 王帅峰(北京初心) ● 孙萌萌(海云捷讯)
联络方式 Contacts
● 安全SIG邮件列表 sig-security@lists.opencloudos.org
会议制度 Meetings
双周例会 定期沙龙
所辖项目 Subprojects
- 漏洞管理
a. 已知漏洞管理 OpenCloudOS社区非常重视漏洞对用户的影响,安全SIG联合安全应急响应工作组构建漏洞管理平台,监测、收集、评估和修补OpenCloudOS及其组件的安全漏洞。 我们会对业界发布的安全问题(CVEs)进行实时收集、影响评估和安全修补,并及时发布公告推送给用户。 b. 自身漏洞处置 OpenCloudOS社区非常重视社区版本的安全性,OpenCloudOS安全SIG提供安全漏洞的提交、评估和对外公布的整体流程。 我们非常欢迎外界安全研究人员主动对OpenCloudOS社区进行漏洞挖掘,并提交疑似安全漏洞。我们在接收到漏洞报告后会立即对其进行处理。 Owners: 白波
- 内核加固
在内核层提供加固手段,能够对内核及其核心服务提供防护,包括 ○ 安全特性的开发,如CFI、DFI等 ○ 硬件安全特性的支持,如CET、TDX、SEV等 ○ 恶意应用程序的检测,如漏洞利用、shell脚本检测等
- 安全工具开发
打造出覆盖计算、内存、网络、进程等多维度的安全工具集,并采用LKM和eBPF框架,能够满足不同的开发者环境需求。基于此工具集,能够对系统内网络、进程进行异常监控和溯源,并可在内核层提供响应处置。 开放简单、易用的接口,并在设计上实现分层、解耦设计,方便二次开发和集成。 Owners: 白波
- 安全认证
等保2.0-(三/四级)
- sig-security
SIG Security 下的各项讨论,并由此产生的文档、流程及其他文件。
如何加入安全SIG并参与贡献
- 注册GitHub账号
- 签署CLA
- 找到对应安全SIG项目仓库地址