《混合开发模式下的开源治理设计与应用-武鑫.pdf》由会员分享,可在线阅读,更多相关《混合开发模式下的开源治理设计与应用-武鑫.pdf(21页珍藏版)》请在三个皮匠报告上搜索。
1、混合开发模式下的开源治理设计与应用承办方:主办方:武鑫 某公司应用安全负责人,兼负责内部安全蓝军个人简介个人简介现状分析现状分析安全风险安全风险治理现状治理现状开发模式开发模式目录目录设计原则设计原则实践方案实践方案来自客户侧的、偏向于企业安全红线的开源软件安全漏洞要求来自真实攻击场景的、不修就被攻击的开源软件安全漏洞需求安全风险:漏洞安全风险:漏洞 客户要求整改漏洞SRC收到关于log4j的漏洞检测项目 开源软件已知未修复漏洞情况 A总数595,其中高/中/低:263/305/27 B总数1895,其中高/中/低:868/947/80 C总数522,其中高/中/低:196/289/37 D总
2、数342,其中高/中/低:109/201/32来自开源软件提供方的诉讼安全风险:许可证安全风险:许可证Npm官方仓库投毒:radar-cms 中的postinstall字段添加了一段恶意命令,导致K8S集群凭证窃取Python官方仓库投毒:covd恶意包投毒,用户安装时触发恶意代码,安装Python木马并内存执行安全风险:恶意代码安全风险:恶意代码官方仓库NPM:radar-cms安装触发:窃取kubeconfig文件Python:covd(covid)安装触发:窃取kubeconfig文件在上线之前进行主机和web漏洞扫描,设置卡点治理现状:漏洞扫描治理现状:漏洞扫描存在不足:业务在快速迭代
3、,安全拖慢速度DAST扫描,发现安全漏洞较为局限开发发布1、安全门禁检查2、遗留风险跟进运营1、监测开源软件漏洞信息;2、监测开源软件投毒情报;3、制定开源软件安全事件应急响应流程设计需求测试1、主机漏洞扫描2、web漏洞扫描3、客户端漏洞扫描除了等待事件发生、被动救火外,也做了一些前置性的工作。比如发现rpm包有供应链投毒情况治理现状:漏洞预警治理现状:漏洞预警开发发布1、安全门禁检查2、遗留风险跟进运营1、监测开源软件漏洞信息;2、监测开源软件投毒情报;3、制定开源软件安全事件应急响应流程设计需求测试1、主机漏洞扫描2、web漏洞扫描3、客户端漏洞扫描存在不足:效果依赖于资产管理,需要较强
4、的安全运营将安全检查和管控融入开发流程,是开源治理的最佳实践。开发模式:与开源治理有什么关系?开发模式:与开源治理有什么关系?序号 开发模式模式特点安全模型安全需求特点安全风险安全责任治理原则1瀑布模式1、开发周期长2、每个阶段目的明确,参与人员仅需专注个人部分SDLC1、重视过程文档,重人力投入执行缓慢1、漏洞2、许可证3、恶意软件安全团队1、设计原则一样2、部分方法一样3、融入流程不同2敏捷模式1、开发周期短2、以客户需求为导向,强调团队之间的高度协作DevSec1、强调快速迭代,自动化为最基本需求安全团队、研发团队3DevOps1、同上2、在敏捷的基础上,强调运维团队应该纳入协作范围De
5、vSecOps1、与敏捷模式需求一致2、结合云原生特点,出现弹性安全需求安全团队、研发团队、运维团队设计原则设计原则责任共担责任共担安全文化安全文化风险排序风险排序持续运营持续运营事件推动事件推动目录目录现状分析现状分析实践方案实践方案建立开源治理委员会,发布开源软件管理规范。明确相关方责任:开源软件源头负责人:负责所管开源软件的日常维护,包括但不限于技术选型、漏洞修复等;开源软件业务使用方:须使用公司提供的开源软件,若要引用其他软件须提交流程进行审批。责任共担责任共担网络安全部运营部信息系统运维中心安全大数据中心云平台产品部技术部法务中心平台研发平台运营源头管理支撑组织应用技术研发中心安全文
6、化的落地不仅在制度、职责、宣传等方面,更应该加强和相关方的沟通,切实关注和解决安全问题。另外在公司设立红黑榜机制,也能对安全工作起到推动作用。安全文化安全文化开源治理委员会定期会议定期或即时沟通安全问题及解决方案每天开源软件漏洞扫描每两周安全相关工作同步每月进行基础类开源模板更新每起开源软件安全事件复盘在开源软件存在的安全风险中,究竟该先治理哪一个?风险排序风险排序漏洞许可证恶意代码严重高危中危低危危险传参外部可控存在不安全的函数开源组件特定的配置开源组件版本与漏洞相匹配持续运营持续运营如何解决日益不断新增的漏洞?针对互联网侧披露最新开源软件漏洞,建立漏洞监控体系、源代码级开源组件清单、漏洞应
7、急响应标准等流程。漏洞监测体系漏洞监测体系自有监控渠道、公司cert开源组件清单开源组件清单OSS+SEC+jira安全工单客户侧闭环机制客户侧闭环机制以产品安全事件应急响应流程为主开源漏洞响应开源漏洞响应原则上高危及以上可利用漏洞响应网络安全相关工作会对业务带来一定的工作量,通常会遭到抗拒或不太配合。充分利用安全事件和重要项目进行推动,是一个非常不错的切入口。事件推动事件推动SCA单点落地12国内某些客户会检查软件安装包或部署的二进制制品从客户安全需求出发,组织相关产线和基础平台进行漏洞检测(梳理资产-工具培训-安全测试专项)结合公司的业务特点,针对全国性重大保障,在内部组织进行全面的开源软
8、件漏洞检测,并“趁热打铁”融入安全提测流程(保障专项测试-提测作业规范发布)SCA全面落地实践方案实践方案统一开源入口的源头管控统一开源入口的源头管控基于基于CI/CDCI/CD流程的安全检查流程的安全检查基于资产体系的合规性检查基于资产体系的合规性检查基于漏洞治理的合规性引导基于漏洞治理的合规性引导目录目录现状分析现状分析设计原则设计原则内部源AF在公司内部发文要求:所有的开发项目从外部拉取依赖时,必须配置AF地址通过AF进行外部依赖的引用。在边界安全设备限制:仅允许白名单的地址访问外部源,并对拉取软件进行检测。统一开源入口的源头管控统一开源入口的源头管控aliyun-remotepytho
9、n-remote.moven-remotealiyun-remotepython-remote.moven-remote公网源FWCI中构建时进行卡点检查,不合规直接阻断基于基于CI/CDCI/CD流程的安全检查流程的安全检查plan1、立项时,声明开源软件使用要求code2,IDE安装插件,导入依赖时进行提醒3,提交代码时,触发git hook扫描做提醒(漏洞和许可证)build按照不同语言组,进行开源软件白名单管理4,开源组件白名单扫描(CI/CD 流水线中拦截)test5,IAST被动式插桩漏洞扫描deploy6,容器镜像漏洞扫描7,产品二进制文件扫描,收集开源软件物料清(SBOM)按照
10、不同语言组,进行开源软件白名单管理4,开源组件白名单扫描(CI/CD 流水线中拦截)operate8,开源软件漏洞预警和情报监测9,SRC10,产品安全众测去存量:借助资产管理体系,对存量不合规使用情况进行探测与收敛检落地:落实开源软件管理办法,对内网所有资产进行探测并梳理出不合规资产基于资产体系的合规性检查基于资产体系的合规性检查资产平台IP和责任人中间件及版本域名和URL开源组件版本操作系统数据库及版本hids采集上报Nmap全端口扫描与服务识别CMDB+ARP+人工运营标题文字0102050403资产探测软件归并技术选型工单跟踪 违规识别将开源软件合规性检查融入到日常的漏洞修复中,依托漏洞管理机制和流程,对存在漏洞的资产修复工作进行引导。将业务使用到的开源软件,引向各源负责人和开源运营平台。基于漏洞治理的合规性引导基于漏洞治理的合规性引导资产平台漏扫体系漏洞处置开源工作组对使用规定开源软件业务的开源软件安全性兜底高危必修漏洞poc*150对相关资产或服务进行漏扫对内网进行7*24h的资产探测操作系统及服务源负责人大数据开源软件源负责人数据库负责人Thanks感 谢 聆 听承办方:主办方: