From b9042aebe8e26edeb9123196422d708ba8be0a63 Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?April=20Xu=20=28=E5=BE=90=E9=A3=9E=29-=E6=B5=AA=E6=BD=AE?= =?UTF-8?q?=E4=BF=A1=E6=81=AF?= Date: Mon, 1 Apr 2024 16:05:18 +0800 Subject: [PATCH 1/2] =?UTF-8?q?=E5=A2=9E=E5=8A=A0=E5=BC=80=E6=BA=90?= =?UTF-8?q?=E9=A1=B9=E7=9B=AE=E5=9C=B0=E5=9D=80=E3=80=81=E6=8F=90=E4=BA=A4?= =?UTF-8?q?=E4=BE=8B=E4=BC=9A=E4=BC=9A=E8=AE=AE=E7=BA=AA=E8=A6=81?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- ...10\344\276\213\344\274\232(2024-03-29).md" | 48 +++++++++++++++++++ .../sig-info.yaml" | 3 ++ 2 files changed, 51 insertions(+) create mode 100644 "sig/\347\263\273\347\273\237\345\256\211\345\205\250SIG/content/SIG\344\276\213\344\274\232/SIG\347\273\2043\346\234\210\344\276\213\344\274\232(2024-03-29).md" diff --git "a/sig/\347\263\273\347\273\237\345\256\211\345\205\250SIG/content/SIG\344\276\213\344\274\232/SIG\347\273\2043\346\234\210\344\276\213\344\274\232(2024-03-29).md" "b/sig/\347\263\273\347\273\237\345\256\211\345\205\250SIG/content/SIG\344\276\213\344\274\232/SIG\347\273\2043\346\234\210\344\276\213\344\274\232(2024-03-29).md" new file mode 100644 index 000000000..36da434ce --- /dev/null +++ "b/sig/\347\263\273\347\273\237\345\256\211\345\205\250SIG/content/SIG\344\276\213\344\274\232/SIG\347\273\2043\346\234\210\344\276\213\344\274\232(2024-03-29).md" @@ -0,0 +1,48 @@ +## 会议主题 +龙蜥社区系统安全SIG 3月例会 + +## 会议时间 +2024-03-29 14:30-15:30 + +## 轮值主持人 +徐峥 --浪潮信息 + +## 参会人 +浪潮信息、阿里云、统信、中科院计算所、长擎软件、中关村国家实验室及社区开发者 + +## 会议纪要 +## 1、系统安全SIG规划介绍--浪潮信息:徐峥 +## 2、开源项目介绍 +2.1 KSecure --浪潮信息:甄鹏 + + KSecure工具适配内核版本:RHCK的4.18 和ANCK的4.19、5.10 + + 是否会适配ANCK6.6内核:计划在今年4-5月进行适配 + + ptrace攻击检测是否是基于CVE漏洞:不是CVE漏洞,是进程注入攻击 + + 工具是否进行过性能测试:CPU性能消耗在5%以内 + +2.2 KSMSuite --浪潮信息:霍文 + +2.3 KSCLM --浪潮信息:杨金林 + +2.4 security-benchmark --阿里云:杨雨青 + + 对于加固完可能对系统产生影响的条目,是否考虑增加回退脚本:目前没有回退工具,脚本根据对系统影响的程度划分了四个等级,二级和四级对系统易用性和性能是有影响的,用户可以根据自己情况自己选择加固项 + + 一个操作系统使用工具加固后,可以满足等保要求的范围大概有多少:覆盖等保三级要求中的部分条目,具体覆盖比例没有进行验证 + + 合规检测工具是否覆盖应用、数据库等服务:目前覆盖系统级别的,SSH、防火墙等,没有应用级别的 + + 检测项参考CIS标准:参考了CIS,借鉴了阿里alinux的检测和加固脚本 + +## 3、讨论:社区的商业版本,如何来应对四院行标要求中的SBOM软件供应链安全需求 + + 背景介绍:华为在最新的四院行标补充标准里面,已经明确提出希望将sbom安全写入到四院行标里面,也就是说希望以后满足四院行标标准送测的时候,操作系统中所有软件组件,必须通过软件物料清单的安全认证。 + + 初步进展:目前信息不明确,需要线下对齐一下信息,找相应的人讨论 + +## 遗留问题 +1、SBOM供应链安全问题:对齐目前已掌握信息,与标准化SIG、安全联盟共同讨论 + diff --git "a/sig/\347\263\273\347\273\237\345\256\211\345\205\250SIG/sig-info.yaml" "b/sig/\347\263\273\347\273\237\345\256\211\345\205\250SIG/sig-info.yaml" index 5f0fcd4b0..bb1d8e7ce 100644 --- "a/sig/\347\263\273\347\273\237\345\256\211\345\205\250SIG/sig-info.yaml" +++ "b/sig/\347\263\273\347\273\237\345\256\211\345\205\250SIG/sig-info.yaml" @@ -47,3 +47,6 @@ contributors: repositories: - repo: - anolis/ksecure + - anolis/ksmsuite + - anolis/ksclm + - anolis/security-benchmark \ No newline at end of file -- Gitee From 36d7979e7916ef1e3f50617e4f416218dff0d5fe Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?April=20Xu=20=28=E5=BE=90=E9=A3=9E=29-=E6=B5=AA=E6=BD=AE?= =?UTF-8?q?=E4=BF=A1=E6=81=AF?= Date: Mon, 1 Apr 2024 16:33:09 +0800 Subject: [PATCH 2/2] =?UTF-8?q?=E6=9B=B4=E6=96=B0=E4=BC=9A=E8=AE=AE?= =?UTF-8?q?=E7=BA=AA=E8=A6=81?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- ...3\346\234\210\344\276\213\344\274\232(2024-03-29).md" | 9 --------- 1 file changed, 9 deletions(-) diff --git "a/sig/\347\263\273\347\273\237\345\256\211\345\205\250SIG/content/SIG\344\276\213\344\274\232/SIG\347\273\2043\346\234\210\344\276\213\344\274\232(2024-03-29).md" "b/sig/\347\263\273\347\273\237\345\256\211\345\205\250SIG/content/SIG\344\276\213\344\274\232/SIG\347\273\2043\346\234\210\344\276\213\344\274\232(2024-03-29).md" index 36da434ce..9a49d692e 100644 --- "a/sig/\347\263\273\347\273\237\345\256\211\345\205\250SIG/content/SIG\344\276\213\344\274\232/SIG\347\273\2043\346\234\210\344\276\213\344\274\232(2024-03-29).md" +++ "b/sig/\347\263\273\347\273\237\345\256\211\345\205\250SIG/content/SIG\344\276\213\344\274\232/SIG\347\273\2043\346\234\210\344\276\213\344\274\232(2024-03-29).md" @@ -37,12 +37,3 @@ 检测项参考CIS标准:参考了CIS,借鉴了阿里alinux的检测和加固脚本 -## 3、讨论:社区的商业版本,如何来应对四院行标要求中的SBOM软件供应链安全需求 - - 背景介绍:华为在最新的四院行标补充标准里面,已经明确提出希望将sbom安全写入到四院行标里面,也就是说希望以后满足四院行标标准送测的时候,操作系统中所有软件组件,必须通过软件物料清单的安全认证。 - - 初步进展:目前信息不明确,需要线下对齐一下信息,找相应的人讨论 - -## 遗留问题 -1、SBOM供应链安全问题:对齐目前已掌握信息,与标准化SIG、安全联盟共同讨论 - -- Gitee