《覃阳青-数字化转型下的软件供应链安全及 DevSecOps 实践.pdf》由会员分享,可在线阅读,更多相关《覃阳青-数字化转型下的软件供应链安全及 DevSecOps 实践.pdf(33页珍藏版)》请在三个皮匠报告上搜索。
1、数字化转型下的软件供应链安全及DevSecOps实践覃阳青 开发安全负责人多年专注于金融行业的开发安全实践,现在安信证券负责软件安全开发方案规划与落地和软件供应链&开源软件治理的探索,对金融行业的软件安全开发方面具有独到的见解。现状与痛点软件开发安全软件供应链治理开源软件治理厂商直供成熟产品、定制化开发一体机、软件成品、源代码合作开发人员驻场开发、各自负责开发部分开发商的开发过程管理、内部的开发流程管理内部自研瀑布模型、敏捷开发建设模式系统保障级别高监管背景管理对象复杂数据价值高系统实时性、可用性、稳定性和业务连续性要求极高、可用性事件零容忍、5分钟红线数字化转型与监管或关联部门系统对接监管政
2、策变化信息系统来自不同的厂商,系统环境多样、技术栈丰富、技术债不可知开发模式多样用户数据量庞大数据体现经济价值高,泄露造成的影响面广数字化特点开源组件占60%+据不完全统计,通常一个应用的第三方组件占应用的60%80%左右业务代码38%构建脚本0.5%配置文件1%其他0.5%客户自己的业务代码约占整个项目的38%程序运行时相对应的配置文件约占1%项目构建、打包等脚本程序其他附加的程序资源开源组件业务代码配置文件构建监本其他u 基本所有软件都使用开源组件,且在系统代码中占比高u 开源软件种类多、版本多u 开源软件资产信息不清晰复杂性依赖性冲突性010203u 开源软件安全风险获取不及时u 安全漏
3、洞整改依赖上游更新升级u 升级变更后的稳定性不保障u 安全和研发价值目标不一致u 系统使用的开源版本难一致u 评估和准入流程不一致04风险性u 近年安全漏洞频发u 特殊场景使用造成的功能稳定性问题u 断供/停更风险缺乏安全规范和组织未制定和发布安全管理规范未组建安全管理职能团队和专业的安全技术人员未按要求实施安全开发标准没有安全检测工具和环境为赶进度不执行安全开发要求安全交付应付式未按要求提供安全交付材料安全交付材料质量差交付后的安全支撑不足没有主动监测产品的安全风险出现安全风险未及时pilu发现安全风险不及时响应处置软件供应商01020304监管规范等保2.0信创改造软件开发安全自研+合作开
4、发外购软件安全治理外购软件+软件供应商开源软件治理开源组件+开源代码+开源系统+开源工具等管理体系治理流程文化建设流水线(DevSecOps)非流水线(SDL)外购(软件供应链治理)技术培训流程培训制度宣贯IDESASTSCAIASTDASTMAST基线加固基线扫描容器安全APP加固主机漏扫数字签名安全漏洞库安全知识库开源组件库安全组件库扫描与加固工具支撑工具度量/评价体系安全需求安全设计安全编码安全验证安全发布 项目需求评审 版本需求评审 架构安全设计 功能安全设计 代码安全检查 组件安全检查 IDE自查 代码安全门禁 组件安全门禁 安全设计门禁 安全需求测试 灰盒测试 渗透测试 应用安全门
5、禁 基线检查 系统漏扫 上线/发布审批DevOps&SDL需求管理平台漏洞管理平台度量平台支持平台开发安全管理平台中层技术与流程规范中层技术与流程规范中层技术与流程规范中层技术与流程规范中层技术与流程规范研发上线测试运维下线组织级项目级管理规范信息安全管理办法数据安全管理办法软件研发管理办法技术规范信息安全技术规范客户数据安全管理规范数据分类分级规范安全配置基线安全需求管理规范安全设计规范安全编码规范代码质量规约安全日志管理规范安全测试指南移动应用安全测试系统上线流程规范安全工具操作规范安全巡检规范安全监控规范系统下线流程规范组织保障(第三方)人员安全管理细则安全培训管理细则技术风险评估管理细
6、则供应商安全管理办法 01 02 03 04应用安全外部形式安全事件影响安全漏洞产生原因安全开发流程安全活动及要求安全卡点设置安全规范制度介绍安全质量红线安全设计安全编码安全测试开源软件安全使用安全工具使用指引定期+不定期各项安全考试安全比赛安全社区安全意识培训流程规范培训安全技术培训安全考试与活动拉取制品APP安全扫描APP安全加固APP签名安全检测UI测试应用安全门禁部署API自动化UI自动化安全验收测试需求申请单元测试代码扫描打包制品上传部署编译构建代码安全扫描组件安全扫描IDE代码安全扫描组件入库检测安全需求评估架构安全评审详细设计威胁建模安全编码指南编码开发环境搭建项目规划架构设计A
7、PI自动化UI自动化应用安全扫描单元测试代码扫描打包制品上传部署代码安全门禁组件安全门禁编译构建安全需求测试例外管理安全审批上线评审编码DEVSITUAT自动化扫描/加固工具安全库/清单支持平台IDESASTSCAIASTDASTMAST基线加固基线扫描容器安全APP加固主机漏扫数字签名安全合规库安全需求库安全威胁库安全漏洞库安全测试用例库安全知识库开源组件库安全代码/组件库安全需求管理平台安全漏洞管理平台安全度量平台安全需求外部合规:如国家法律、行业规范内部规范:如公司管理办法、安全规范、实施指引特定风险:如特定业务场景风险风险发现数量、风险处置率、相同问题复发数、例外上线数、代码风险密度.
8、(基于单个项目、总体)基于风险度量风险检出率、检测误报率、工具故障数、支持检测系统类型数.基于工具有效性度量各环节活动执行覆盖率、工具的使用数、工具使用率.推广情况度量总体风险变化趋势、缺陷识别左移率、缺陷左移修复率、自动化检测效率.方案效果度量DevSecOps成熟度模型软件安全保障成熟度模型供应链引入环节软件生产环节软件应用环节制度流程规范主要管控对象重要软件供应商外购软件供应链风险评分优质供应商推荐供应商风险监控安全管理能力安全交付能力安全应急能力项目安全需求安全交付标准评分参考安全需求纳入安全服务协议安全需求验收单SBOM代码安全报告应用安全报告软件成分分析渗透测试供应商审查项目安全要
9、求采购管理安全要求审查安全交付复核审查符合性安全交付符合性应急响应情况外部漏洞情况安全开发情况供应商安全评价软件安全质量预估遗留风险等级开发安全活动安全交付质量SBOM(SAST)IASTSCADAST外购软件交付流水线拉取制品APP安全扫描APP安全加固APP签名安全检测UI测试应用安全门禁部署API自动化UI自动化安全验收测试需求申请安全需求评估架构安全评审项目规划架构设计例外管理安全审批上线评审UAT安全运营安全管理规范能力安全开发管控方案安全组织建设状况企业资质财务实力项目经历安全交付能力技术储备.产品安全能力先查软件交付符合性评价模型l 安全需求是否被供应商进行需求管理和测试l 安全
10、交付材料是否提供l 安全交付材料生成方式及使用的工具专业度l 安全交付情况与实际验证遗留问题数量l.选型审查交付审查安全管理能力符合情况、安全开发能力符合情况、安全组织能力符合情况.123是否提交安全检查报告、安全检查报告生成方式、安全检查结果与内部检查风险差距.运营评价安全应急响应及时性、安全风险主动披露情况、安全风险数量、安全风险修复时长.保障目标安全性合规性健康性开源引入开源使用000选型推荐使用评审入库管理资产扫描资产维护风险卡点风险监控资产管理风险度量SCASBOM代码库流水线制品库开源库开源软件治理平台资产管理风险库管理扫描检测风险度量CMDB开源维护开源软件入库流程开源系统项目流
11、程流水线检测流程应急响应流程开源资产保鲜流程上线检测管控流程开源治理管控流程基础服务应用系统基础设施组件依赖SpringDubboLog4jfastjsonMybitas.开源代码中间件数据库基础平台k8sdockerOpenStack.基础设施KvmVmware操作系统MysqlMongoDBESkafkaTomcat.Redis.其他开源系统运维工具开发工具开源软件健康性开源软件许可可用性评估可靠性易用性成熟度兼容性服务能力评估更新频率维护团队/人数无开源协议商用代码协议AGPL协议GPL协议Apache2.0协议MIT、BSD协议生产系统(不对外)xxxxxxxxxxxxxxxxxx生产
12、系统(面向客户)xxxxxxxxxxxxxxxxxx移动APPxxxxxxxxxxxxxxxxxx办公系统xxxxxxxxxxxxxxxxxx定向授权的软件xxxxxxxxxxxxxxxxxx基础应用数据库MQredis平台管理服务资产管理风险管理策略维护风险库前置交互服务风险分析合规分析风险跟踪风险度量控制台集成对接(cmdb、DevOps.)服务路由开源软件治理小组合规专家开发团队运维团队技术专家安全专家架构团队开源软件治理涉及资产管理、技术评估、流程管控及合规审查等,涉及知识面和技术面广,需各团队共同协作支持。n 开源软件治理需多方支持共同评估和治理Thanks开放运维联盟高效运维社区DevOps 时代荣誉出品