《2020BCS-北京网络安全大会:敏捷开发中的开源安全治理.pdf》由会员分享,可在线阅读,更多相关《2020BCS-北京网络安全大会:敏捷开发中的开源安全治理.pdf(13页珍藏版)》请在三个皮匠报告上搜索。
1、敏捷开发中的开源安全治理 开源安全治理的探索与实践 如何做 开源安全治理的思路 开源安全治理的价值 DevOps成熟度依赖低 较高的威胁确定性 足够的威胁震撼性 误报低、效率高、易自动化 投入产出比可观 开源安全治理所需能力 研发资产中开源软件及漏洞的识别能力 开源识别:对于给定的配置库、制品库或代码包,能 够通过技术手段,快速、准确的识别其中的开源软件及 其版本 漏洞识别:对于识别出的开源软件,能够关联并分析 该开源软件存在的漏洞信息 开源认证:提供资产软件与官方软件一致性认证能力, 避免软件被篡改,确保资产及工具链的安全性 开源软件资产登记及漏洞跟踪能力 资产登记:根据开源软件识别结果,保
2、存产品及其版本 与开源软件间的映射关系 漏洞跟踪:当开源软件漏洞数据更新后,能推送是否有 新的漏洞影响系统中正在使用的开源软件,一旦有新的 漏洞影响,能及时进行预警,确保不错过漏洞情报 开源安全治理的实现方式 安全能力集中接入 高易用、低感知的安全服务 统一的安全服务接口 数据集散及信息可视化 安 全 服 务 框 架 , 核 心 是 对 多 种 安 全 验 证 工 具 、 能 力 进 行 统 一 封 装 , 并 通 过 A P I 或 U I 交 互 , 及 融 入 交 付 流 水 线 等 途 径 , 向 开 发 团 队 提 供 便 捷 易 用 的 安 全 服 务 集 合 。 通 过 安 全
3、服 务 框 架 提 供 的 服 务 集 合 , 贯 穿 软 件 开 发 的 完 整 生 命 周 期 , 从 需 求 分 析 和 技 术 设 计 , 直 到 上 线 运 营 及 运 维 。 同 时 , 安 全 服 务 框 架 也 服 务 于 安 全 团 队 , 向 其 提 供 一 系 列 安 全 管 理 服 务 。 实践与问题 解决历史、管控当下、防患未来 开源安全治理的实践 解决历史:存量开源漏洞梳理与整改 管控当下:开发流程的开源安全检查 防患未来:开源漏洞预警及应急响应 存量开源漏洞梳理与整改 梳理台账整改试点建立基线分批整改支持验证 p检测应用产品生产 分支 p建立开源软件漏洞 与产品映射关系 p梳理数据供管理层 整改决策 p框架类 p依赖JDK升级 p功能单一类 p技术可行、风险可 控 p区分存量与增量 p区分各整改批次 p漏洞级别和应用形 态分批整改,降低 风险 p共性解决方案