SESSION
09 月 22 日 16:30 - 17:00 供應鏈資安論壇
Open Source 開發者經驗分享 - 透過產品開發流程管理開源軟體漏洞
開源軟體 (Open Source Software) 在這幾年成為資通訊領域的主流趨勢,舉凡從 5G (ORAN)、區塊鍊、 AI、Cloud、到嵌入式設備等等,從應用層到 driver 層都已經被大量使用。從消費端到工業應用,業界已非常頻繁的使用開源軟體作為元件來整合或進行二次開發。然而,產品開發結束後才開始管理開源軟體資安漏洞的成本相當高。此次分享, SZ 會分析這幾年的開源軟體通用漏洞披露 - Common Vulnerabilities and Exposures (CVE) 的狀況以及趨勢, 並且講述如何透過需求分析、SBOM使用、分析開源軟體成分等等方法,整合至軟體開發生命週期來管理開源軟體資安漏洞,進而降低總體軟體開發/ 維護成本。此外,SZ 也會以多年的開源軟體開發者角度, 分享如何透過系統性工具、SBOM 開源工具等等來追蹤及處理開源軟體資安漏洞, 並且分享實際修補 CVE 需注意的實務經驗, 避免因修補而產生衍生問題。除了已知漏洞, SZ 也會分享如何透過測試來挖掘未知漏洞。
透過開源管理開源,用合宜的研發成本以及可接受的資安風險使用開源軟體打造安全產品, 讓研發人員可將心力花在核心技術研發上。
SPEAKER
SZ 長期耕耘開源軟體以及資安領域,現為 Debian 官方開發者,長期在開放原始碼資安軟體團隊中進行維護及開發,其中也包含來自 Ubuntu,Kali Linux 開源軟體套件。目前 SZ 為 ISA 99 以及 ISASecure 委員會成員,並參與 ISA/ IEC 62443-4-1 以及 ISA/ IEC 62443 IIoT 國際標準及驗證標準制定。同時也為臺灣門禁系統資安標準制定委員。
SZ 為大中華區第一位 ISA/ IEC 62443 官方證照課程講師,擁有 CISSP、CISSP-ISSAP、CSSLP、CISM、CISA、GICSP ( Gold ),ISO / IEC 27001 Lead Auditor、ISA/IEC 62443 Cybersecurity Expert Certificate Holder 資安證照。
此外,SZ 曾為 Linux 基金會官方專案 Civil Infrastructure Platform ( 城市基礎設施平台 ) 技術指導委員、CIP Linux kernel workgroup 主席、 以及 ISO / IEC 5230 OpenChain 董事會成員。
SZ 曾在多場國際會議中發表技術演講,如 Embedded Linux Conference、Embedded Linux Conference Europe、Open Source Summit Japan、and Open Source Summit China 等等。