31 Jan
2026
31 Jan
'26
11:01 a.m.
【会议纪要】【Security sig例会】20260126 【与会人】:宋世轩,郑雪,蒋宏博,吴龙飞,刘展峰 会议议题: 议题1、黑匣子遗留问题评审(华为-刘展峰) 议题2、neon三方组件引入评审(华为-吴龙飞) 会议结论: 议题1、黑匣子遗留问题评审(华为-刘展峰) 遗留问题闭环情况: 1、 黑匣子特性增强-api优化已提供证书认证功能,客户端请求restapi服务时,会先进行ssl证书认证 2、 已支持业务面和管理面部署在不同网卡,实现业务面和管理面隔离 3、 社区已提供认证能力,DSG暂不会进行额外安全设计 4、 黑匣子特性增强-支持密钥同步特性经验,使用Keyring保存密钥会存在主机重启后密钥丢失等问题,需要重新生成证书并同步客户端,经讨论,目前仍采用原本加密方案 评审结论: 评审通过 议题2、neon三方组件引入评审(华为-吴龙飞) 评审意见: 1、 安全扫描漏洞升级组件后遗留一项tar组件漏洞,对应的漏洞是近期刚发布,等待官方补丁包后升级; 2、 330版本暂时不在社区放编译好的二进制包,后续如果涉及发布,需要清理对应的安全编译选项告警; 3、 neon仓引入后,同步官方仓patch的策略 --已确认官方仓更新的patch可以同步到社区维护的代码仓; 评审结论: 遗留问题闭环后通过