《05刘津铭-从源头预防_移动终端软件供应链安全治理探讨.pdf》由会员分享,可在线阅读,更多相关《05刘津铭-从源头预防_移动终端软件供应链安全治理探讨.pdf(22页珍藏版)》请在三个皮匠报告上搜索。
1、从源头预防:移动终端软件供应链安全治理探讨vivo安全研发工程师 刘津铭软件供应链安全发展趋势01目录020304移动端软件供应链治理痛点vivo软件供应链安全治理实践探讨与未来展望01 软件供应链安全发展趋势软件供应链及软件供应链安全的定义供应链软件生命周期开放软件开源软件商采软件DEVOPS交界面交界面引入使用生产开发安全来源安全交付安全供应链下游安全最终使用侧安全有序高效安全可靠多个层级多个组织特定渠道特定方式软件供应链发展趋势及面临安全风险趋势:开源软件逐步成为软件供应链基础设施风险:开源代码的可持续性下降,开源代码的质量难以把控趋势:随着供应链链条增长,软件复杂度增加风险:软件供应链
2、链条越长攻击面越大,完整性遭受挑战数据来源:新思科技2023开源安全和风险分析报告02 移动端软件供应链治理痛点例:CVE-2023-4863缓冲区溢出影响广泛排查难度高 Libwebp 是谷歌提供用于编码和解码 WebP 格式图像的库 排查对象是构建后的应用、制品,且通过多重依赖引用Libwebp制品,缺少源码,二进制排查难度高移动端软件供应链安全治理痛难点软件供应链来源广泛多重依赖关系复杂APKJAVA SDK1JAVA SDK2JAVA SDK4JAVA SDK5C SDK2JAVA SDK6自有代码JAVA SDK3C SDK1应用程序AAR SDK?.soSDK java源码libw
3、ebp c语言源码多重依赖多重制品制品对用户完全可见管理难排查难不可控03 vivo软件供应链安全治理实践vivo软件供应链安全治理实践生产引入使用软件供应链生命周期供应商评估 代码安全评估许可证合规评估软件成分分析SBOM生成、更新静态扫描动态扫描notice集成威胁情报收集SBOM维护 应急响应应用行为管控执行活动使用工具规范&指引供应商引入规范第三方软件引入规范开源许可证使用规范安全编码规范安全设计规范应急响应流程vivo软件供应链安全治理体系安全扫描平台合规扫描平台SCA平台威胁情报平台漏洞跟踪平台引入环节:建设组件管理平台统一管控内部仓库产品A产品B产品C白名单灰名单黑名单Gradl
4、e引用Gradle引用文件引用不同渠道的第三方软件研发申请引入准入审核代码安全许可证合规供应商准入成分分析官方仓库解析官方数据对接漏洞知识库代理管控生产环节:多模态行为主体识别精准分析组件管理平台对制品管控能力强,对源码方式引入的第三方软件管控能力弱多模态行为主体识别:精确识别代码文件归属,提升软件成分分析准确性,为软件供应链安全治理提供数据支撑SDK引用代码片段引用包管理器引用文件引入多模态行为主体识别源代码识别制品识别生产环节:多模态行为主体识别精准分析源代码检测技术:通过包管理器、代码片段、精确文件/目录识别源代码检测技术代码片段识别精确文件识别包管理器识别包管理器代码片段精确文件目录适
5、用场景软件代码三方软件嵌入/修改三方软件软件代码三方软件依赖三方软件生产环节:多模态行为主体识别精准分析制品检测技术:通过代码路径特征、函数特征、文件特征、哈希特征、manifest特征等多维度识别信息收集特征提取成分识别组件仓库GitHub隐私声明第三方软件基础信息应用信息收集提取文件特征文本特征manifest特征函数特征代码路径特征多特征第三方软件库构建特征匹配结果识别识别处理多模态匹配加权覆盖第三方软件3000+个提取特征15000+条阈值生产环节:多模态行为主体识别精准分析制品检测技术:通过代码路径特征、函数特征、文件特征、哈希特征、manifest特征等多维度识别多模态行为主体识别
6、已覆盖vivo软件开发全流程,日均提供识别能力6000+次制品检测技术路径特征函数特征文件特征软件代码三方软件嵌入/修改三方软件适用场景哈希特征清单特征对APK制品检测进行横向测试,vivo基于自研多模态行为主体识别能力,检出效果好vivo检测平台A检测平台B应用A162149130应用B686045应用C145132118同应用第三方软件检出数量使用环节:SBOM助力软件供应链风险治理软件物料清单(SBOM):描述软件包依赖树的一系列元数据集合,包括组件唯一标识、供应商、版本号、组件名、版权、许可证、安全威胁等多项关键信息,旨在跨组织共享,提升软件透明度 201812:美国联邦采购供应链安全
7、法案 202102:美国美国供应链行政令 202105:美国关于改善国家网络安全的总统行政命令 202107:欧盟供应链攻击威胁情景报告 202209:欧盟网络弹性法案 软件供应链安全能力成熟度参考模型(草案)软件供应链安全要求(草案)资料来源:信息安全技术 软件供应链安全要求使用环节:SBOM威胁情报能力推进应急响应威胁情报是软件供应链安全治理的基础,是应急响应流程的核心开源组件漏洞数据不足以覆盖软件供应链安全风险治理工作,多渠道整合威胁情报管控软件供应链安全威胁情报平台NVDCNVDCNNVD内部情报GitHub共享情报统一情报格式 覆盖maven、gradle、npm、pypi等技术栈
8、覆盖35w+条风险数据,内部情报1000+条 威胁情报更新时间控制在小时级 构建资产搜索引擎,毫秒级检索影响资产使用环节:SBOM助力软件供应链风险治理代码仓组件仓软件构建软件运营软件成分分析SBOM生成工具软件依赖查询许可证识别SBOM数据库SBOM应用场景漏洞应急响应漏洞识别许可证分析Notice生成格式标准化使用环节:应用行为管理应用行为管理:判断应用程序意图,最小化应用程序权限,最大化守护安全隐私底线,保障软件供应链安全例:某开源软件存在获取设备信息等行为,经深度评估为不满足权限最小化原则,但由于不得不使用该第三方软件,且对开源代码修改存在许可证合规的风险,从系统底层切断该开源软件采集
9、用户终端数据的通道应用程序开源软件系统API真实IP:123.123.123.123真实IMEI:87246自定义APIIP:1.1.1.1IMEI:0000000000000000必要功能调用非必要调用框架层应用行为管控04 探讨与未来展望探讨与未来展望 分享vivo软件供应链安全治理经验,携手共建多模态行为主体识别能力,从源头堵住供应链安全隐患 参与软件供应链治理社区建设,推动建立完善的漏洞相应机制,提升供应链安全风险应急响应能力THANKS关于vivo千镜秉承“数据安全与隐私保护是用户的基本权利,vivo必须全力保障”的底线原则,首创千镜可信引擎+,赋能各行业合作伙伴,守护各大业务场景,为亿万用户的数字化生活保驾护航扫码了解更多vivo安全资讯