近期，2023开放原子全球开源峰会OpenAtom OpenHarmony分论坛在京举行。会议期间，OpenHarmony安全委员会主席任奎接受采访，就OpenHarmony安全委员会的最新进展进行分享。



  OpenHarmony是由开放原子开源基金会（OpenAtom Foundation）孵化及运营的开源项目,目标是面向全场景、全连接、全智能时代、基于开源的方式，搭建一个智能终端设备操作系统的框架和平台，促进万物互联产业的繁荣发展。5月31日，受OpenAtom OpenHarmony项目群工作委员会要求，OpenHarmony安全委员会在浙江大学杭州国际科创中心成立。

  “利用开源软件构建信息系统已成为主流趋势，但目前开源软件存在供应链投毒事件频发，安全开发机制欠缺，安全漏洞无法及时修复等严峻挑战，OpenHarmony作为万物互联的底座，也同样面对着开源社区的安全诸多挑战，亟需构筑OpenHarmony社区安全治理能力。”任奎认为。

  在此背景下，OpenHarmony安全委员会应运而生。在任奎看来，当前开源软件的安全威胁主要来自开源软件漏洞挖掘和修复、开源软件供应链安全、开源软件的安全审计、开源软件的安全测试和评估、开源软件的安全教育和培训等多个方面。

  “OpenHarmony安委会会联合各方一起制定相应的安全工作组和工作计划来应对威胁。”任奎表示。“从OpenHarmony安委会的职责中，我们可以看到，安委会是从制度、流程及基础设施方面端到端构筑社区安全管理体系，这个端到端按交付活动，分为社区研发态安全、社区运营态安全以及社区下游的生态安全。”他进一步介绍。

  为此，安委会下设七个工作组，包括供应链来源安全与可信工作组、代码安全与安全工程工作组、安全检测与验证工作组、漏洞管理与治理工作组、应急响应与安全生态工作组、产业政策与标准认证工作组和产业安全使能工作组。七个工作组分工协作，以便更好地提升社区安全治理能力。

  安委会会员由覆盖高校、安全企业、标准认证公司、行业发行版研发企业、设备厂商等各行业代表共计25家单位组成。主席单位为浙江大学网络空间安全学院；副主席单位有江苏润和软件股份有限公司、湖南开鸿智谷数字产业发展有限公司、华为技术有限公司、北京邮电大学网络空间安全学院、华中科技大学网络空间安全学院、兰州大学、武汉大学国家网络安全学院。

  提及如何发挥企业、高校、安全公司等会员单位各自优势，凝聚力量。任奎表示，对高校来说，优势是学术研究及理论突破，将社区安全治理的前沿命题带给高校，理论结合实际，促进社区安全治理人才的培养和学术研究成果的快速实践转化；对企业来说，OpenHarmony已经进入交通、教育、卫生、金融、电力等多个行业，企业的优势是充分了解行业的安全诉求，通过参与安委会，将行业通用安全治理的需求导入到OpenHarmony社区，共建安全的操作系统底座，最终安全治理解决方案反哺到各行业；对安全公司来说，优势在于能够提供专业、成熟的安全产品和结合行业安全实践最顶尖的安全能力，参与到安委会，可以将专业的安全工具用于行业，促进整个安全产业的繁荣发展。基于安委会工作制度，几方投入到安全治理工作中，进行资源整合，提升OpenHarmony社区的安全治理水平。

  随着人工智能技术的不断发展，给社区安全治理也带来了新的挑战，为此任奎认为，随着AI技术的进步，我们面临着大量内容被伪造或篡改的风险。这些内容可能包括虚假的新闻、恶意的软件甚至是网络攻击工具。这些内容不仅可能给我们的社区成员带来困扰，还可能对整个社区的声誉造成影响。此外，AI技术的发展还可能导致新型攻击手段的出现。例如，利用AI技术进行自动化攻击、针对性更强的定向攻击以及更难以防范的隐蔽攻击等。这意味着我们的安全防护措施需要不断升级，以应对这些新型威胁。针对这些挑战，OpenHarmony安委会将加大投入，持续研究前沿技术，与全球安全社区紧密合作，共同应对人工智能带来的新挑战。我们相信，在大家的共同努力下，我们能够保障社区的安全，促进人工智能技术的健康发展。

  关于OpenHarmony安全委员会近期发展规划，任奎表示，安委会近期会按照各委员单位参与领域方向，组内选出安全工作组组长和副组长关键岗位，制定工作目标和工作清单，本着开源共建的精神正式开展工作；远期吸纳更多伙伴加入到安委会，共同提升OpenHarmony社区的安全治理水平，推动OpenHarmony社区健康快速发展，促进OpenHarmony行业生态的繁荣。