2022年10月24日,开放原子开源基金会开源安全委员会在1024程序员节北京峰会上正式成立。会上,百度与27家单位共同发起开源安全委员会。开源安全委员会致力于制定开源项目的安全流程和规范、提供开源开发的安全工具和平台、发起开源安全依赖的关键项目、推动开源安全的国际合作与交流。
数字浪潮发展迅猛,国内需要开源软件的安全保障,更需要开源安全的专业组织。2021年底,Log4j漏洞引发全球信息安全大地震,世界各国政府、非营利基金会和智库都在高度关注开源安全领域。开源为软件生成提供一套新内容模式、新生产方式、新交付方式,通过代码公开、规则公开、过程公开建立公平公正的社区环境,有效建立信任机制。在生态、开放、协同等方面的理念上,开源项目与ESG精神尤为契合。据中国信息通信研究院2021年发布的《开源生态白皮书》数据显示:人工智能领域的开源项目占比15%,物联网行业89%的代码库中包含开源代码。生产制造和网络安全领域开源代码占比均为84%。移动应用软件、教育技术、医药健康以及营销技术行业开源代码占比均为82%。全球开源项目基本覆盖当前主流的技术领域,并且呈现出逐渐稳占信创生态系统开发和建设的核心基础设施的重要地位的发展趋势。在此基础下,百度始终秉持“合作共赢、开源共享”理念,积累了丰厚的技术沉淀,并积极拥抱开源,持续协助国内开源生态建设,始终发挥企业社会责任为国内信创产业发展贡献自己的技术能力。对外,截至2021年年底,百度在Github 累计主导 21个开源组织,主导的开源项目数量超过1000个,社区贡献者超过1.8万个,获得star数量超过37万个。对内,百度不仅成立了开源办公室、开源法律组和安全组等团队,还制定了完备的开源制度文件,以推动内部项目对外开源、确保开源合规、尊重第三方知识产权,争取开创和维护开源的新局面。百度安全是百度22年丰富互联网安全实践的总结与提炼的集成,以自身的技术沉淀与多方位的项目实践经验,积极参与到开源生态构建中。近几年,百度安全已成功推进Apache Teaclave(incubating),Apache HugeGraph(incubating)、PaddleSleeve、Advbox、OpenRASP等多个开源项目,始终致力于构建开放包容的开源生态。1、Teaclave (incubating): Apache Teaclave (incubating)是全球首个通用安全计算平台,为隐私数据计算赋能,让安全计算更简单。Teaclave 基于硬件安全能力(例如Intel SGX、ARM Trustzone、海光CSV),确保敏感数据在可信域外和离岸场景下安全可控的流通和处理,无需担心隐私数据泄露和滥用。同时,Teaclave 还支持多方参与的联合计算,打破企业和组织中的数据孤岛。Teaclave 于 2019 年 8 月进入 Apache 基金会孵化器,2020 年 10 月,Teaclave 社区正式通过并发布了 0.1.0 版。2、HugeGraph (incubating):HugeGraph源自百度安全业务需求而孵化的项目,是百度自研的大规模图数据库,也是国内首个开源的图数据库,其特性是高效、易用、可扩展,支持百亿顶点和万亿边的快速导入,并提供毫秒级的关联关系查询能力。2022年,百度捐赠HugeGraph图数据库给Apache软件基金会,成功进入Apache孵化器。3、PaddleSleeve:PaddleSleeve是基于百度“飞桨”开源深度学习平台的安全与隐私工具, PaddleSleeve为高安全性、高隐私性的需求场景提供端到端的安全技术支撑。2021年,百度安全正式对外发布PaddleSleeve。其前身是百度在2018年开源的对抗样本工具箱Advbox,Advbox中集成了大量业界代表性的对抗样本生成算法和自然扰动样本生成算法,用于对AI模型鲁棒性的测试。4、OpenRASP:OpenRASP是百度于2017年发布的国内首个开源自适应安全产品,作为领域内的先驱,极大的推动运行时自防护技术的应用与普及,有效增强防御体系纵深和漏洞防护的适应能力。项目获得社区的广泛认可,已经在政务、金融、能源、教育等各行业场景中广泛应用。百度不仅仅拥有强大的开源平台实践和完备的制度制定经验,在安全生态建设方面同样积极进取。百度联合华为、中国信息通信研究院联合发起成立OASES 智能终端安全生态工作委员会,协同OASES成员单位共同推进智能终端安全生态的建设,建立安全防护能力,护航智能终端开源生态健康可持续发展。在未来,百度安全也将全力支撑开源安全委员会的工作,聚焦解决开源软件安全威胁,遵循开放共享、共建共治的理念,以开源的协作方式,建机制、立标准、强能力、拓合作、筑底线,提升自身安全水平,助力开源生态繁荣发展。
