sig-security例会 2025-05-13 10:00-11:00 发起人:lwj11223344 与会人:lwj11223344(李文杰)、王钦东、于浩、张磊、彭祥麟、鄢川杰 会议平台:WELINK 会议ID:960352733 会议链接:https://meeting.huaweicloud.com:36443/#/j/962338107 Etherpad链接:https://etherpad.openubmc.cn/p/sig-security 议题1:遗留问题进展&近期事务同步 主讲人:李文杰 列席人:李文杰,彭祥麟 议题时间:20min 议题内容: 1. Q2安全特性落地情况审视: a. 支持互联网的定制化特性 支持redfish接口新增获取用户上次登录时间lastLoginTime 【平台】提供禁止创建特定登录接口用户的能力 支持用户名校验定制后的用户提示优化 正在开发落地,相关评审参考论坛的评审材料 2. 接口变更要求同步 北向接口:涉及错误码变更也需要评审 资源树接口:涉及华为与伙伴,尽量不要变更 3. 针对历史各厂商使用华为签名固件的现网整改策略,与徐海军同步,对齐解决方案 议题2:安全启动在伙伴使能的流程讨论 主讲人:李文杰 列席人:李文杰,王钦东、于浩、张磊、彭祥麟、鄢川杰 议题时间:30min 鲲鹏生产流程: 1. 正向发货: 华为产线:硬件测试->升级华为签名包->无伙伴根 伙伴产线:集成测试->切换为伙伴固件->导伙伴根 2. 逆向返修,存在两种场景: a. 需要回华为 伙伴产线:升级为转换包(支持升级华为签名固件)->发货给华为 华为产线:升级华为签名固件后维修 b. 不需要回华为 伙伴自行处理 切换openUBMC版本(伙伴自签名版本)相关步骤: 1. 伙伴自建PKI (!!! 重要,请妥善保管私钥信息,一经泄漏,影响所有伙伴已发布设备,建议使用加密机(江南天安)) PKI的标准架构可以参考: 根CA 证书、私钥 二级CA 证书、私钥 签名证书 证书、私钥 2. 伙伴将根CA证书发给华为,华为生成伙伴根 3. 伙伴将伙伴根在产线导入设备 伙伴在车间先升级转换包版本(华为签名,包中携带伙伴的根证书,支持升级校验伙伴固件),再升级伙伴固件,再导入伙伴根 4. 伙伴出包时使用签名证书的私钥制作固件 5. 现网升级伙伴签名的固件 议题3:社区未关闭issue和forum问题审视 主讲人:李文杰 列席人:李文杰,彭祥麟 议题时间:10min 1. Kerberos功能在国内场景下,诉求较弱,暂未实现。后续基于客户诉求触发式实现 剩余问题已审视,针对转换包的问题,补充材料后再组织讨论会议