打造可持續發展社區，openEuler如何讓安全護城河再強化？

原創贊收藏評論

舉報 2024-11-27

掃描,分享朋友圈

作者 | 曾響鈴

文 | 響鈴說

面向數字基礎設施的操作系統“openEuler”發展究竟如何了，一直備受業界人士乃至普通大眾的關注。

不久前，openEuler Summit 2024召開，集中展現了開源歐拉眾多發展成果。通過全球開發者在openEuler社區的共同努力，一個開放、多元和架構包容的軟件生態體系逐步繁榮——2024年openEuler系操作系統新增裝機量超過500萬套，五年累計裝機量突破1000萬套。

這是里程碑式突破，而與此同時，峰會上關于安全的聯合行動，也讓業界對開源歐拉的發展更加“放心”——openEuler社區與中金金融認證中心有限公司（CFCA）攜手，共同發布了安全啟動代碼簽名服務平臺，雙方要在服務器安全領域進行深度合作。

在新的數字化安全視角下，一個可持續安全啟動體系正在建立，安全啟動的發展進一步深入，也讓openEuler社區在安全方面的布局更加全面、深入，契合新的環境需要。

在安全問題上，openEuler社區正在把“安全基因”再強化

操作系統的安全是老生常談的話題，只不過，過去人們往往在關注某些BUG、漏洞上，擔憂它們帶來的損失，而事實上，當下的安全大環境發生了某些方向性的新情況，今年更加不容樂觀，尤其是幾個月前Windows藍屏造成全球眾多系統的癱瘓，被有些媒體稱為“有史以來最嚴重的IT故障”，暴露了代碼審核機制等更為復雜的安全問題。

越來越多的人意識到，操作系統的安全問題是一個需要全面審視、系統防御的工作。

事實上，如果說微軟藍屏事件只是一次機制不到位造成的“失誤”，那么不法分子在軟件供應鏈的幾乎任何位置注入或修改惡意代碼，已經成為嚴峻的安全挑戰。保證代碼的真實性、完整性，建立軟件開發者與用戶之間的絕對信任，成為當務之急。

openEuler開源五年，在商業、技術、生態上全面發展，在openEuler Summit 2024上，可以看到，openEuler系操作系統已經在互聯網、金融、運營商等各行業核心應用場景實現規模商業落地，逐步向覆蓋數字全場景的目標邁進。

數年的沉淀，上千萬的裝機量、廣泛的場景落地，固然是openEuler的產業生態成績，但這樣的成績越是斐然，也意味著在安全問題上“容錯率”就變得越低，需要有更加可持續的安全體系支撐。

幸運的是，如果說openEuler系操作系統是“新物種”，那么openEuler社區環境下產業共建，就是一個“造物”的過程，種種跡象顯示，這種“造物”生來就關注了“新物種”各種基因的塑造，其中已經包括了“安全基因”。長期以來，openEuler一直在安全建設上不遺余力，讓openEuler系的操作系統生來在底層就帶有各種安全能力儲備，不走先發展、后治理的道路（Windows藍屏事件中，如果能夠提前做好代碼審核的預防機制，就可能不用出了事再去補救、治理了）。

如同自然界“造物”，各種基因也需要進行適應環境的變化，openEuler同樣不例外。在日益嚴峻且情況更復雜的安全形勢下，openEuler此次攜手CFCA，就是要構筑更強大的“安全護城河”，推動操作系統在進化過程中不斷強化自身的安全基因，應對未來更復雜的安全形勢。

驗證應用程序來源、降低惡意軟件攻擊的風險、提高應用程序的可信度、防止應用程序被篡改……

openEuler社區與CFCA的合作，正在帶來更多切實的安全保障。

安全啟動代碼簽名服務平臺：加速安全基因滲透進程

更進一步看，為什么openEuler要選擇與CFCA共同建設“安全啟動代碼簽名服務平臺”這個體系？

這其實是兩個問題，為什么是CFCA，以及這個平臺具體能做什么。

前者，要看到openEuler當下迫切需要什么伙伴。

公開信息顯示，目前為止openEuler實際上已經逐步建立了一套安全技術棧，用來確保openEuler 在面對網絡安全威脅時的韌性和安全性，例如在機密計算等方面的技術創新與合作。

然而，服務器安全是數字化安全的基礎，安全啟動又作為服務器運行的首要步驟，需要采取更高級別的安全機制加以保障，在前文提到的大背景下，openEuler現在還需要強化安全啟動簽名體系建設。

這恰恰是CFCA最在行的。

作為業界領先的第三方電子認證服務機構，CFCA已經有超過20年為全國多行業提供電子認證服務的經驗，一直致力于全方位網絡信任體系的構建，具備強大的安全運維能力。

CFCA依托于其深耕的高安全性密碼技術，致力于打造安全啟動簽名體系的基礎設施。具體而言，CFCA建立了以PKI為基礎的安全啟動簽名體系，提供服務器安全啟動解決方案服務，為操作系統、板卡廠商等安全啟動相關方提供代碼審計并進行電子簽名，對加載的軟硬件進行驗證，保障軟硬件是來自可以信任的提供方的正式版本，以此構建服務器安全防線。

正好你需要，正好我有，雙方合作建設高質量安全啟動體系，就水到渠成了。

而具體怎么建，服務平臺就成為恰當的選擇。

早在今年6月，openEuler 24.03 LTS版本就新增了CFCA安全啟動配置，成為首個支持國內CA簽名的操作系統安全啟動，在全球37個鏡像站同步更新。

這是安全啟動的一次重要進步，具有里程碑式的意義，但對整個開源項目來說，更多程序開發的過程還需要用到安全啟動、需要實現可信，因此還缺乏一個社區化的服務機制。

openEuler與CFCA聯合推出的安全啟動代碼簽名服務平臺，通過提供全面的CA運營服務、便捷的證書下載通道、嚴謹的代碼審核機制以及可靠的代碼簽名服務，能夠為社區提供高效且安全的代碼簽名服務，實現了流程整體線上化運作。目前，該平臺已成功為openEuler及多家頭部企業提供了專業的代碼審計與安全啟動代碼簽名服務。

越來越多的社區程序，可以借由平臺獲得數字世界的“駕駛執照”，而openEuler的安全基因也能加速滲透，塑造更成功、更具時代力量的新物種。

當服務平臺這一機制建立起來，也意味著openEuler社區在技術創新、流程體系與產業合作方面，進一步實現了安全技術全覆蓋、安全標準共制定、基礎安全覆蓋全流程，離打造健康可持續發展的開源操作系統根社區的目標越來越近。

強化安全能力，眾人拾柴才能火焰高

安全啟動不僅是一個操作系統開源項目要關心的事，事實上，它直接影響的是每一個開發者、廠商的切身利益。

代碼簽名證書，保證了軟件的代碼不容易被非法篡改，保護了代碼的完整性，一方面提升最終用戶的信任度，有助于提升企業品牌形象；另一方面，如同《網絡安全法》中明確了程序開發企業對用戶隱私等方面的責任，廠商有責任防止軟件代碼遭到惡意攻擊、篡改，保障用戶數據、隱私安全等。

因此，積極擁抱安全啟動，是操作系統共建過程中各個產業主體必須要做的事。

值得一提的是，很多時候簽名、驗證服務本身存在著“越用越好”的現象，提供服務的廠商能夠在廣泛的實踐中積累更強大的代碼審核能力，目前CFCA已經成功為行業領軍企業浙江大華技術股份有限公司提供了專業的代碼審計與簽名服務，在實踐能力上有著充分的基礎。

此次，openEuler社區與CFCA深度合作，在開源代碼審核能力上將進一步深化，服務品質料將進一步提升，因此，對更多產業主體尤其是行業頭部用戶來說，使用本次大會發布的安全啟動代碼簽名平臺，就成為必要且有能力保障的選擇。

這就會產生一個現象：當越來越多行業頭部用戶來使用安全啟動代碼簽名平臺，整個平臺就會越做越好、越做越強，最終反過來讓整個生態都能受益，實現社區在安全上的正反饋循環，最終保障系統自身及運行于系統上數據全生命周期的安全。

在標準組織、安全評估機構、合作伙伴和客戶的共同努力下，這場操作系統“造物”的過程中，優勢的安全基因正在被不斷強化，可持續發展也就自然而然了。

*本文圖片均來源于網絡

*此內容為【響鈴說】原創，未經授權，任何人不得以任何方式使用，包括轉載、摘編、復制或建立鏡像。

#響鈴說 Focusing on企業數字化與產業智能化升級，這是關注一切與創業、產業和商業相關的降本增效新技術、新模式、新生態 NO.428深度解讀

【完】

曾響鈴

1鈦媒體、人人都是產品經理等多家創投、科技網站年度十大作者；

2 虎嘯獎評委；長沙市委統戰部旗下網絡名人聯盟成員；

3 作家：【移動互聯網+ 新常態下的商業機會】等暢銷書作者；

4 《中國經營報》《商界》《商界評論》《銷售與市場》等近十家報刊、雜志特約評論員；

5 鈦媒體、36kr、虎嗅、界面、澎湃新聞等近80家專欄作者；

6 “腦藝人”（腦力手藝人）概念提出者，現演變為“自媒體”，成為一個行業；

7 騰訊全媒派榮譽導師、功夫財經學者矩陣成員、多家科技智能公司傳播顧問。

本文系作者授權數英發表，內容為作者獨立觀點，不代表數英立場。
轉載請在文章開頭和結尾顯眼處標注：作者、出處和鏈接。不按規范轉載侵權必究。

掃描,分享朋友圈

曾響鈴

客戶/市場

近期精選文章更多

带玩具逛街时突然按下按钮的故事,丰满的妺妺3伦理播放,新婚人妻不戴套国产精品,大肉大捧一进一出好爽视频百度

打造可持續發展社區，openEuler如何讓安全護城河再強化？

評論

評論

推薦評論

全部評論（0條）

曾響鈴

關于

聯系

相關信息

带玩具逛街时突然按下按钮的故事,丰满的妺妺3伦理播放,新婚人妻不戴套国产精品,大肉大捧一进一出好爽视频百度

打造可持續發展社區，openEuler如何讓安全護城河再強化？

評論

評論

推薦評論

全部評論（0條）

曾響鈴

關于

聯系

相關信息

打造可持續發展社區，openEuler如何讓安全護城河再強化？