42 位專家，12 場演講，龍蜥社群系統安全 MeetUp 精彩回顧來啦

近日，龍蜥社群系統安全 MeetUp 圓滿結束，來自 Arm、阿里雲、海光、Intel、統信軟體、AMD、達摩院、螞蟻集團、中科微瀾及北京大學等 42 位專家、學者和意見領 袖參加了本次活動。會上正式釋出《商用密碼技術最 佳實踐白皮書》和《雲原生機密計算最 佳實踐白皮書》兩大龍蜥社群作業系統安全白皮書，致力於幫助廣大面臨 OS 安全問題的使用者深入瞭解作業系統標杆產品實踐，讓業務創新與技術探索有安全可靠的基座，為 OS 安全行業貢獻龍蜥力量。

（圖/龍蜥社群系統安全 MeetUp 現場合照）

會議伊始，龍蜥社群安全委員會主 席、阿里雲資 深技術專家龍勤分享了龍蜥社群安全委員會的定位與規劃，總結了龍蜥社群幾大安全技術 SIG 的工作成果，並表示，“作為龍蜥社群規劃與佈局的八大技術方向之一，構建從硬體到雲原生的全棧安全技術體系，保障使用者作業系統的安全可信，讓業務創新和技術探索擁有安全可靠的基石，將是龍蜥社群安全委員會和安全技術 SIG 的共同目標。”

（圖/龍蜥社群安全委員會主 席、阿里雲資 深技術專家龍勤）

隨後，龍蜥社群安全委員會 Contributor、統信軟體伺服器作業系統與雲端計算產線安全研發經理曹佩慶，為現場嘉賓帶來《UOS 系統安全架構簡介》主題演講，與大家共同探討統信作業系統安全體系架構，以及重點關注的安全發展方向。

（圖/龍蜥社群安全委員會 Contributor、統信軟體伺服器作業系統與雲端計算產線安全研發經理曹佩慶）

龍蜥標準化 SIG Owner、阿里巴巴標準化部總監劉大鵬，達摩院技術專家鄭耿分享了《標準化助力龍蜥社群規範及安全發展》。

（圖/龍蜥標準化 SIG Owner、阿里巴巴標準化部總監劉大鵬）

劉大鵬為大家詳細介紹了 龍蜥社群標準化 SIG 及正在制定的規範。標準化 SIG 的目標是聯合 Anolis OS 生態夥伴共同制定 Anolis OS 的工程標準並確保社群產品符合行業國家相關的標準 ，確保 Anolis OS 在產業鏈上下游使用的相容性、一致性，助力 Anolis OS 繁榮生態建設。標準化 SIG 制定的龍蜥社群治理規範，透過在龍蜥社群中引入軟體物料清單等內容，促進龍蜥社群規範、安全發展，後續將會與龍蜥社群安全相關 SIG 緊密合作進行規範落地。

（圖/達摩院技術專家鄭耿）

開源供應鏈安全是近些年安全領域的熱門話題。針對開源供應鏈的攻擊有著攻擊面廣、影響面大、防範難度高等特點。鄭耿分享了龍蜥社群如何透過標準化手段治理社群，提升社群透明性和安全性的實踐。龍蜥安全團隊透過和標準化 SIG 的合作，以社群規範的形式引入了社群 SBOM 規範，為後續透過 SBOM 去提升軟體的透明性，排查軟體合規風險、提升安全事件響應效率打下了堅實的基礎。

龍蜥漏洞管理負責人、阿里雲技術專家張世樂，中科微瀾王寧做了《龍蜥漏洞管理體系》主題演講。

（圖/龍蜥漏洞管理負責人、阿里雲技術專家張世樂）

安全漏洞管理是作業系統安全防護的重要組成部分，張世樂在演講中向嘉賓介紹，龍蜥社群已建立基於風險的安全漏洞管理流程，從安全漏洞情報感知，威脅分析與風險評估，到漏洞修復，安全公告發布全生命週期的管理體系。龍蜥社群現已獲取CNA資質，併成功申報多個CVE，也積極開展社群安全合作，與多個安全組織及三方安全廠商在漏洞掃描與漏洞挖掘上展開合作，共建龍蜥安全生態。

（圖/中科微瀾王寧）

隨後王寧表示，在漏洞管理領域，由於漏洞基數龐大，漏洞獲取途徑複雜等原因，開源社群在進行漏洞管理需要較大的人力和資源成本。openBrain 開源漏洞感知系統是依託漏洞情報自動化獲取、知識化與智慧分析等技術而形成新型安全基礎設施，openBrain 在開源社群的應用探索證明了其在開源專案漏洞管理過程中具有很高的價值，能夠在降低人力投入的同時極大提升開源社群安全保障能力，解決漏洞管理過程中複雜棘手的問題，讓漏洞管理變得輕鬆簡單。

（圖/螞蟻集團密碼學技術專家、銅鎖社群 Maintainer 張成龍）

螞蟻集團密碼學技術專家、銅鎖社群 Maintainer 張成龍分享了《基於銅鎖密碼庫構建國密生態 》，為現場嘉賓詳細介紹了銅鎖社群在構建國密生態中取得的進展和未來的規劃，以銅鎖密碼庫為基礎，構建國密系統工具，包括 wget、curl、wrk 等，支援網路庫、網路中介軟體等網路基礎設施的國密功能，包括 Tengine、MOSN 等，以及構建國密多語言生態，包括 Java、Python 等，並將這些國密生態子專案開源，同開源社群開發者一起攜手共建，助力國密生態建設。

（圖/龍蜥商密軟體棧 SIG Contributor 、ARM（中國）資 深技術專家方方明）

隨著國密演算法在國內推廣，國密演算法的應用場景越來越多，這也對國密演算法的效能提出了更高的要求。龍蜥商密軟體棧 SIG Contributor 、ARM（中國）資 深技術專家方方明做了《基於 Arm 架構的國密最佳化》主題演講，重點介紹了國密演算法 SM3 和 SM4 的基本原理。首先，方方明從 Arm 架構的演進出發，分享了 Arm 架構對於國密演算法的指令支援，以及使用相關指令 在OpenSSL/Tongsuo 上的效能最佳化實踐，並透過資料體現出 Arm 平臺在國密演算法上的效能優勢，最後總結了 Arm 在 OpenSSL，ISA-L 和 ipsec-mb 專案上對國密演算法所做的最佳化和貢獻。

（圖/北京大學研究員關志）

自我國商用密碼標準於 2012 年釋出以來，國內外密碼主要應用領域已發生巨大的發展和變化，北京大學研究員關志分享了《國密演算法擴充套件與 GmSSL 3.0 的新特性》。報告針對當前密碼應用發展現狀，從密碼標準化和密碼技術演進等角度展開探討，內容涉及密碼演算法和實現的新型安全威脅、密碼演算法的新型計算執行環境和密碼演算法的新應用場景，在此基礎上分析了國密演算法的技術需求和發展方向，介紹了 GmSSL 專案在國密隱私簽名、零知識證明、抗量子演算法等方面引入的新特性，以及國密演算法在新應用場景下的技術挑戰。

（圖/龍蜥社群雲原生機密計算 SIG Owner、達摩院高 級安全專家張佳）

龍蜥社群雲原生機密計算 SIG Owner、達摩院高 級安全專家張佳向現場嘉賓分享了《CNCC SIG去年成果和未來規劃》，介紹了龍蜥社群機密計算 SIG 在去年取得的成果與總結，並展望了 2023 年機密計算 SIG 在機密互聯與供應鏈安全服務的重點工作。

（圖/ Intel 系統軟體架構師杜凡）

應用程式層面的 TEE 安全保護技術 SGX 有著成熟的軟體棧和應用場景落地案例，從第三代至強伺服器 IceLake 開始支援單 socket 最大 512GB EPC 容量，能夠有效支撐大記憶體 SGX 業務模型。配合 EDMM 功能幫助 SGX 業務動態新增 EPC 記憶體，有效提升 EPC 資源的利用率。Intel 系統軟體架構師杜凡帶來《龍蜥社群 Intel 安全功能概述》精彩分享。SGX 在龍蜥社群中目前也有強勁的支援來匹配上游 Linux 的功能。以應用程式層面的 TEE SGX 為起點，Intel 也致力於提供虛擬機器層面的 TEE 技術實現 – Intel TDX (Trust Domain eXtension)，TDX 提供保護虛擬機器記憶體和CPU 暫存器狀態的機密性和完整性，能夠有效的防護來自不同維度的軟硬體攻擊，同時做到對應用程式透明無感。未來 TDX 1.5 也增加熱遷移，無縫升級 TDX Module 等更高 級功能助力TDX 產品化落地，最後 Intel TDX 技術路線圖也披露了 TDX Connect 架構，劍指 CPU TEE 和裝置 TEE 之間的 IO 鏈路層資料的機密性和完整性，為 TEE 技術擴充更為廣闊的應用場景！

（圖/ Intel軟體工程師俞林）

Intel軟體工程師俞林分享了《Intel TDX機密容器》主題演講 。機密容器（Confidential Containers，CoCo）是雲原生計算基金會（CNCF）的一個沙箱專案，它透過利用可信執行環境（Trusted Execution Environments）來保護容器以及資料達到雲原生機密計算的目的。英特爾利用其 TDX（Trusted Domain Extensions）硬體在 CoCo 的基礎上為雲提供商和租戶提供增強的容器、應用以及資料的全連結安全保護的端到端解決方案。

（圖/AMD 資 深雲端計算架構師宋仲儒）

AMD 資 深雲端計算架構師宋仲儒分享了《利用 AMD EPYC 實現機密計算》 。隨著越來越多的業務上雲，端到端的全鏈路可信或機密正在慢慢成為公有云基礎設施的預設要求而不再是一個特性，需要綜合利用加密儲存、安全網路傳輸、機密計算來實現對使用者敏感資料全生命週期的保護。機密計算是當前業界正在補齊的環節，主流的硬體平臺已經部分提供或正在實現對機密計算的支援，包括 AMD SEV，AMD SEV-ES, AMD SEV-SNP 等。

（圖/海光資訊保安技術部主任工程師劉子行）

海光安全虛擬化(CSV)已演進到三代，為使用者資料提供了安全性和完整性的雙重保護。海光資訊保安技術部主任工程師劉子行做了《海光機密計算技術發展與規劃》 主題演講。CSV 透過度量虛擬機器初始化映象保證啟動安全，透過記憶體隔離保護技術保證執行時資料安全；CSV 提供遠端認證機制供第三方校驗，認證資訊由海光晶片簽名。使用者透過海光晶片證照服務系統下載晶片證照鏈後鑑權證照，可確認執行於真實可信的硬體環境中。海光大力支援龍蜥社群開源工作，已完成安全容器相關功能的支援，後續將繼續與龍蜥社群深入合作，為使用者提供更多更好的安全服務。

（圖/ Arm 中國高 級技術產品經理楊喜樂）

來自 Arm 中國高 級技術產品經理楊喜樂分享了《Confidential Computing with Armv9-A》。Arm 的機密領域管理擴充套件 (Realm Management Extension, RME) 架構特性旨在解決使用者敏感應用和資料在使用中的安全挑戰，實現機密計算的普惠性。Arm在Armv9-A架構已經引入了RME功能，採用對應架構的晶片也將擁有此項功能。支援 RME 架構特性的 CCA 開源軟體元件已經支援在 FVP (Fixed Virtual Platform) 上進行開發、測試和驗證。機密容器 (Confidential Containers) 專案中針對 Arm CCA 的支援也在同步進行中，目前已經實現了基本功能的啟用和驗證，基於 Veraison 的 Arm CCA attestation driver 也將會以外掛的形式整合到機密容器遠端證明驗證服務元件 (Attestation service) 中。

值得一提的是，本次 MeetUp 上重磅釋出了兩大安全白皮書：

（圖從左至右/吳保錫、馮浩、張天佳、楊洋）

商用密碼承載了國內資料和網路的基礎安全使命。會上，龍蜥社群商密軟體棧 SIG Owner 張天佳向現場嘉賓詳細介紹了《商用密碼技術最 佳實踐白皮書》，該白皮書是商密軟體棧 SIG 的技術和案例的沉澱做了整理彙總，挑選其中精華內容形成。隨後，張天佳邀請了海光馮浩、銅鎖社群 Maintainer 楊洋、浪潮資訊吳保錫 3 位嘉賓共同上臺釋出《商用密碼技術最 佳實踐白皮書》，從社群、案例、技術全方位介紹了商用密碼生態。

（圖從左至右/張佳、杜凡、宋仲儒、邊道京、劉子行）

隨著資料資源開放共享和資料安全威脅的增加，隱私保護雲端計算成為資料處理的新正規化，而機密計算是實現隱私保護雲端計算的關鍵核心技術之一。龍蜥社群雲原生機密計算 SIG Owner 張佳向現場嘉賓詳細介紹了《雲原生機密計算最 佳實踐白皮書》，該白皮書是雲原生機密計算 SIG 集安全技術和解決方案的精華而成。會上 Intel 系統軟體架構師杜凡、AMD 資 深雲端計算架構師宋仲儒、Arm 中國邊道京、海光資訊保安技術部主任工程師劉子行等 4 位嘉賓共同上臺釋出《雲原生機密計算最 佳實踐白皮書》，該白皮書將為使用者提供開箱即用的機密計算軟體棧，降低機密計算的使用門檻, 推動雲原生場景下的機密計算技術的發展。

最後，感謝各位嘉賓等參加此次 MeetUp，也感謝龍蜥社群和理事單位螞蟻集團的工作人員與志願者們的辛勤付出：蔡佳麗、崔開、郝世榮、金美琴、可樂、李藝林、馬丁、孫林林、泡椒、夏敏琪、英花、袁豔桃、張家樂、張世樂、張天佳等。

—— 完 ——