sig-security例会 2025-05-13 10:00-11:00
发起人:lwj11223344
与会人:lwj11223344(李文杰)、王钦东、于浩、张磊、彭祥麟、鄢川杰
会议平台:WELINK
会议ID:960352733
会议链接:https://meeting.huaweicloud.com:36443/#/j/962338107
Etherpad链接:https://etherpad.openubmc.cn/p/sig-security
议题1:遗留问题进展&近期事务同步
主讲人:李文杰
列席人:李文杰,彭祥麟
议题时间:20min
议题内容:
1. Q2安全特性落地情况审视:
a. 支持互联网的定制化特性
支持redfish接口新增获取用户上次登录时间lastLoginTime
【平台】提供禁止创建特定登录接口用户的能力
支持用户名校验定制后的用户提示优化
正在开发落地,相关评审参考论坛的评审材料
2. 接口变更要求同步
北向接口:涉及错误码变更也需要评审
资源树接口:涉及华为与伙伴,尽量不要变更
3. 针对历史各厂商使用华为签名固件的现网整改策略,与徐海军同步,对齐解决方案
议题2:安全启动在伙伴使能的流程讨论
主讲人:李文杰
列席人:李文杰,王钦东、于浩、张磊、彭祥麟、鄢川杰
议题时间:30min
鲲鹏生产流程:
1. 正向发货:
华为产线:硬件测试->升级华为签名包->无伙伴根
伙伴产线:集成测试->切换为伙伴固件->导伙伴根
2. 逆向返修,存在两种场景:
a. 需要回华为
伙伴产线:升级为转换包(支持升级华为签名固件)->发货给华为
华为产线:升级华为签名固件后维修
b. 不需要回华为
伙伴自行处理
切换openUBMC版本(伙伴自签名版本)相关步骤:
1. 伙伴自建PKI (!!! 重要,请妥善保管私钥信息,一经泄漏,影响所有伙伴已发布设备,建议使用加密机(江南天安))
PKI的标准架构可以参考:
根CA 证书、私钥
二级CA 证书、私钥
签名证书 证书、私钥
2. 伙伴将根CA证书发给华为,华为生成伙伴根
3. 伙伴将伙伴根在产线导入设备
伙伴在车间先升级转换包版本(华为签名,包中携带伙伴的根证书,支持升级校验伙伴固件),再升级伙伴固件,再导入伙伴根
4. 伙伴出包时使用签名证书的私钥制作固件
5. 现网升级伙伴签名的固件
议题3:社区未关闭issue和forum问题审视
主讲人:李文杰
列席人:李文杰,彭祥麟
议题时间:10min
1. Kerberos功能在国内场景下,诉求较弱,暂未实现。后续基于客户诉求触发式实现
剩余问题已审视,针对转换包的问题,补充材料后再组织讨论会议
