第二届大会回顾第20期 OHPM：建设安全可靠的OpenHarmony生态软件仓库

演讲嘉宾 | 杨牧天

回顾整理 | 廖 涛

排版校对 | 宋夕明

嘉宾介绍

OS安全分论坛

杨牧天，北京中科微澜科技有限公司CEO，中国科学院软件研究所高级工程师，开放原子开源基金会开源安全委员会-安全平台工作组组长。曾参与国家重点研发、核高基、863、自然科学基金等多个国家及省部级重大项目，并担任安全应用项目负责人。拥有多项发明专利及软著，相关研究成果在包括NDSS、IJCAI、ICSE、FSE等国际顶级会议及期刊发表。

视频回顾

打开哔哩哔哩APP，观看更清晰视频

正文内容

在现代软件开发中，使用三方库可以减少重复的开发工作，提高代码的可重用性和可维护性，保证代码质量。如何建设安全可靠的OpenHarmony生态软件仓库，提供高质量三方库及软件？北京中科微澜科技有限公司CEO杨牧天在第二届OpenHarmony技术大会上进行了精彩分享。

OpenHarmony Package Manager（简称：OHPM），是一个面向公众开放、用于管理和共享OpenHarmony三方库的平台，致力于环境良好的开源生态建设，并通过开放治理寻求更加丰富的开源资源共享与交流。目前，OpenHarmony社区已经上线了超过130个JS/ArkTS三方库，涵盖UI、动画、安全、工具、文件数据、网络、多媒体以及图片缓存等类型，涉及多家共建厂商与研究机构。

三方库中心仓是OpenHarmony生态的软件供应链上游，存储了OpenHarmony系统及应用开发所需的“原材料”，因此其安全保障能力尤为重要。首先，三方库中通常含有开源软件，带来4类主要风险：（1）继承性漏洞：影响广，隐藏深，危害大。当上游开源组件中存在漏洞时，该漏洞也会影响下游使用该组件的软件；（2）上游源投毒：绕过防护植入恶意代码。攻击者通过在供应链社区中发布恶意软件包，从而实现攻击活动；（3）维护性中断：关键软件断供影响业务连续。由于开源项目活跃度低、维护能力不足等原因，导致开源软件无法可靠供应，进而影响业务连续性；（4）合规性冲突：违反开源许可协议导致的风险，例如出海软件产品禁售等风险。此外，OpenHarmony三方库中心仓也面临着隐私、合法合规、网络安全、兼容性、连续性以及名称抢注等安全挑战。

基于上述风险，北京中科微澜科技有限公司（简称：中科微澜）技术团队正将自主研发的全链路软件供应链安全方案应用于三方库的审核与持续风险监测，致力于保障开源三方库及软件的安全可靠。该方案包括开源软件供应链风险情报、中心仓库安全监测、源码分析等方面：

微知——开源风险情报感知服务。微知服务提供了全面和实时的开源风险情报获取与分析能力，为三方库开源软件风险管控提供有效支撑。

微源——开源软件可信中心仓。微源通过对仓库内软件从安全性、维护性、合规性等方面进行持续评估，对高风险软件及时下架。

微析——开源软件风险管理平台。微析服务实现对软件开发中引入的开源软件溯源与风险监测，能够支持对三方库软件的源码级评估。

在对OpenHarmony三方库中心仓保障方案中，研究团队采用了多项关键技术，以实现实时、高效、可靠的中心仓安全审核与管理能力：

漏洞情报关联融合技术

通过多源漏洞情报融合，有效整合大量、多源、多维信息，从而提升情报质量与及时性。同时，优质和及时的漏洞情报能够显著提升漏洞检测、评估等业务效果，并为漏洞处置以及分析工作提供有力支撑。

自动化供应链分析技术

公开的开源软件供应链漏洞情报存在影响范围记录不全面、数据准确率不足等问题，会极大影响相关风险识别工作。为此，探究团队通过在知识库中对开源软件上下游关系、依赖关系、包含关系等进行预构建和刻画，基于补丁比对的漏洞检测技术+软件供应链溯源，构建开源漏洞传播模型，并维护开源软件映射矩阵，将不同数据源的软件归一化，实现快速的情报感知。

动态处置优先级评估技术

通过跟踪漏洞在外网的讨论热度、舆情、武器化潜力、攻击事件等多个维度，综合评估漏洞处置优先级，帮助社区漏洞修复小组识别漏洞外部威胁态势，更快修复关键漏洞。

主体软件识别技术

由于漏洞的影响范围可能涉及多款软件，但其中部分软件可能是由于引用了那些漏洞直接影响的软件，从而受到影响。在此，将那些漏洞直接影响的软件称为主体软件，通过识别和修复漏洞影响的主体软件能够快速消除漏洞影响范围。

后续，上述所提到的全链路开源软件供应链安全方案计划在充分的评估和验证后合入到OHPM项目中，进一步保障OpenHarmony生态软件仓库的安全可靠。

E N D

关注我们，获取更多精彩。

审核编辑 黄宇