职责范围 Scope

安全SIG涵盖OpenCloudOS 项目的横向安全计划,致力于打造一个集系统加固、配置安全、监控报警、异常检测、安全审计等一系列功能的安全平台,包括安全漏洞管理、安全特性和组件开发、跨领域安全文档编辑和安全社区管理。安全SIG专注于提高OpenCloudOS项目的所有组件的安全性,并作为OpenCloudOS安全的公共关系联络点。
具体表现为:

  1. 漏洞管理
    OpenCloudOS社区非常重视社区版本的安全性,安全SIG与安全应急响应工作组提供漏洞生命周期维护和跟进,对已发布漏洞进行实时收集、修补和下游推送。同时,我们非常欢迎外界安全研究人员主动对OpenCloudOS社区进行漏洞挖掘,并提交疑似安全漏洞。

  2. 安全审计
    安全审计是查找代码中安全漏洞的方法。在“安全左移”的发展趋势下,代码审计逐渐成为确保代码质量的一个关键环节。安全SIG负责管理经常性的安全审计并跟踪问题,包括协调其它SIG执行审计并发布结果,与受影响的SIG跟踪问题并帮助协调解决方案。
    ● 漏洞缓解:研究漏洞规避技术,开发相关工具,能够在开发工程过程中帮助开发人员避免软件引入安全漏洞。
    ● 漏洞挖掘:通过静态分析和模糊测试挖掘潜在的漏洞,构建全面的漏洞挖掘套件,能够对系统、组件以及应用库进行主动漏洞挖掘。
    ● 漏洞修复:研究先进的漏洞修补技术,确保能够方便的对用户生产环境进行漏洞修补。

  3. 内核加固
    在内核层提供安全缓解机制并提供相关模块的运营,包括
    ● 内核安全特性开发
    ● 硬件安全特性的支持
    ● 应用攻击的检测和防御

  4. 安全监控架构
    建立全面的集CPU、网络、文件、进程等指标为一体的安全监控平台,为检测系统内异常行为安全工具提供规范的获取接口,并提供进程溯源、进程、文件和网络处置的能力,供上层安全工具使用。此外,基于系统层提供的能力,开发安全工具集,与OpenCloudOS配套提供安全能力。可具备的能力包括:
    ● 弱配置检测,并自动关联修复建议;
    ● 威胁向量汇总和综合分析,提供联合检测能力;
    ● 自动化溯源,能够根据进程间关系、网络流量映射、漏洞情况,对攻击进行画像和溯源;
    ● 威胁处置,能够对恶意程序进行消除,并修补相关漏洞。此外,对外提供应用程序库,用户可以方便的进行二次开发和使用。

  5. 安全文档维护
    编写和维护跨领域的安全文档,例如加固指南和安全基线。寻找和协调其他sig中的专家,为文档提供信息。主要文档类型包括:
    ● 加固指南和最佳实践
    ● 安全标准 
    ● 安全漏洞分析和报告
    ● 改进文档以解决常见的误解或问题

成员

各成员之间排名不分先后, SIG 小组内部的运营和治理由SIG组长负责

  • 白波 (腾讯)
  • 刘春 (腾讯)
  • 张海全 (腾讯)
  • 宁固(中科方德)
  • 符鹏飞(上海交大)
  • 王帅峰(北京初心)
  • 孙萌萌(海云捷讯)

联络方式 Contacts

● 安全SIG邮件列表 sig-security@lists.opencloudos.org

会议制度 Meetings

双周例会
定期沙龙

所辖项目 Subprojects

  1. 漏洞管理
    a. 已知漏洞管理
    OpenCloudOS社区非常重视漏洞对用户的影响,安全SIG联合安全应急响应工作组构建漏洞管理平台,监测、收集、评估和修补OpenCloudOS及其组件的安全漏洞。我们会对业界发布的安全问题(CVEs)进行实时收集、影响评估和安全修补,并及时发布公告推送给用户。
    b. 自身漏洞处置
    OpenCloudOS社区非常重视社区版本的安全性,OpenCloudOS安全SIG提供安全漏洞的提交、评估和对外公布的整体流程。我们非常欢迎外界安全研究人员主动对OpenCloudOS社区进行漏洞挖掘,并提交疑似安全漏洞。我们在接收到漏洞报告后会立即对其进行处理。
    Owners: 白波(腾讯)
  2. 内核加固
    在内核层提供加固手段,能够对内核及其核心服务提供防护,包括
    ○ 安全特性的开发,如CFI、DFI等
    ○ 硬件安全特性的支持,如CET、TDX、SEV等
    ○ 恶意应用程序的检测,如漏洞利用、shell脚本检测等
    Owners: 张海全(腾讯)
  3. 安全工具开发
    打造出覆盖计算、内存、网络、进程等多维度的安全工具集,并采用LKM和eBPF框架,能够满足不同的开发者环境需求。基于此工具集,能够对系统内网络、进程进行异常监控和溯源,并可在内核层提供响应处置。开放简单、易用的接口,并在设计上实现分层、解耦设计,方便二次开发和集成。
    Owners: 白波(腾讯)
  4. 安全认证
    等保2.0-(三/四级)
  5. sig-security
    SIG Security 下的各项讨论,并由此产生的文档、流程及其他文件。

如何加入安全SIG并参与贡献

1.注册GitHub账号
2.签署CLA
3.找到对应安全SIG项目仓库地址: