1、信创软件安全质量管理探讨杨廷锋Yang Tingfeng安恒车联网副总01.前言安全质量管理其实是一个比较大的概念，涉及组织、人员、技术工具、包括其他配套的资源作为探讨，聚焦到三个方面n 软件产品自身安全质量n 软件产品管理维护n 软件产品文档永恒之蓝漏洞Spring 命令执行漏洞Weblogic反序列化漏洞Windows 冲击波病毒Log4j2反序列化漏洞heartbleed漏洞（心脏滴血）ShellshockCONTENTS目 录01.软件产品自身安全质量02.软件产品管理维护03.软件产品文档2 0 2 3 W E S T L A K ED I G I TA L S E C U R I

2、T YC O N F E R E N C E01软件产品自身安全质量充分识别可能存在的安全漏洞，构建安全质量的基线，建立安全质量持续改进机制01.软件产品自身安全质量软件产品的安全质量什么样情况是算达标的？生产工艺提升良品率通过检测手段排除不良品结合软件定位之上，符合用户、监管、企业对安全的需求？零缺陷管理理论：预防产生质量，检验不能产生质量PDCA循环管理：按计划、执行、检查、处理四个阶段循环不止地进行全面质量管理工业产品研发领域生产线良品率自动化工具化提升效率软件产品研发领域提升产出，降低原材料的损耗浪费疑问：疑问：提升效率，降低因安全问题导致的返工01.软件产品自身安全质量l 安全质量标

3、准：应当是具体的、可操作的标准数据安全要求行业标准/监管要求数据处理规范安全最佳实践标准10+项业界的合规标准、可扩展的安全需求知识库基于业务场景的轻量级威胁建模方法安全测试用例下沉到某个具体业务功能或者接口，提供与安全需求对应的安全开发SDK研发团队更容易拆分研发任务、实施和检测安全需求，提高闭环率。l 安全质量标准：与安全质量标准的差距分析，设计具体的安全预防措施，以达到质量标准l 安全质量标准：质量标准不依赖于人员，但是离不开人员的能力安恒威胁建模子平台疑问：安全需求？安全质量标准？安全质量标准应当是安全需求在具体软件提供的服务上投影，并细化具体化l 以安全需求+威胁建模构建安全质量标准

4、l 以安全质量标准推动研发、测试工作01.软件产品自身安全质量安全质量检测：质量检测作为排除不良品的方法，同样需要具备具体的、可操作的特点。同时将检测作为生产的工序（提前剔除废品的思路）确定边界和范围对比项SASTSCADASTIAST对象源代码/制品包组件/制品包Web应用Web应用部署使用简单简单简单复杂误报率高中低极低覆盖度高高低中开发语言关联关联无关联CI集成支持支持不支持不支持安恒安全检测任务模块SCASASTIASTDASTAPP检测Web漏扫主机漏扫操作指南自动化一键发起多类型的安全检测任务，导出统一报告01.软件产品自身安全质量01020304疑问：如何持续提升安全质量？数据整

5、合分析归因分析措施构建问题发现改进措施问题分析优化安全质量标准内容围绕质量标准提升自动化降低使用门槛，学习门槛引入检测性工具指导性工具/文档需求库、测试库等内容更新元数据基础指标关联聚合决策分析01.软件产品自身安全质量运营指标内部指标外部指标各类工具覆盖度检测准确度/误报率检测规则覆盖率安全运营质量各类漏洞修复率中高危风险数据安全事件处置时效安全积分排名合规事项数据排名事件处置时效万行代码漏洞率运营周报安全月报研发部门例会CIO安全例会安全部门例会02软件产品管理维护规范软件产品更新发布机制、建立风险响应机制，加速上下游的风险信息传递02.软件产品管理维护而信创软件大多数面向企业提供服务，需

6、要在产品维护过程中，提供安全质量保障尤为重要。针对软件供应链的攻击，需要依托需求方和供应方初始建立的信任，大多数时候通过软件的维护过程影响到下游企业（建立信任？如何重建信任？）软件的维护过程软件更新发布（补丁）资产摸排与应急响应与上下游信息同步渠道网络安全防线构建响应效率VS 稳定性公开性 VS 保密性通过信息交互建立信任、同时防止假冒临时性响应措施构建争取时间，维护过程追求稳定性、可靠性对部分人群或者企业进行公开，完全公开需要时间身份验证（包括发布者、维护者等）02.软件产品管理维护攻击者深入开发环境，直接在代码中添加后门，通过软件更新的机制影响关注代码提交更新的内容攻击者污染公开的仓库（使

7、用假的包、伪装成高版本的包），通过引入方式，进入软件攻击者利用公开发布的补丁/安全补丁，逆向分析漏洞并制作成工具，对下游供应商进行攻击疑问：不同软件/产品/服务更新发布（补丁），方式不一样，如何开展安全管理换个角度：从历史的事件、攻击面、攻击方式等角度去关注有哪些风险，以风险的角度逆推更新发布的安全管理，随着持续提升机制优化关注引入的第三方包补丁在有限范围内公开（也需要结合信息渠道、响应）产品（补丁）发布和验证和渠道攻击者利用替换补丁、拦截下载等方式，注入或者替换为恶意软件。建立软件签名校验的机制为需求方、监管方建立单独的信息渠道，提前进行预警，对内发布补丁，一段时间后进行公开自建第三方仓库，

8、构建准入机制，开展第三方包治理工作02.软件产品管理维护应用画像绘制源代码仓库组件SBOM信息API接口信息应用信息系统画像风险情报风险情报识别风险排查风险确认风险处置风险总结风险情报订阅/收集（文档/表单、服务）其他渠道风险通报各系统安全风险联系人清单（表单/系统维护）风险通知排查流程风险排查、分析以及处置指南制作（服务）资产管理（表单/系统）风险/漏洞生命周期追踪（表单/系统）确定、验证、实施处置措施总结工作开展文档支持安恒工具支持系统支持接受Log4j风险预警Log4j组件存在相关风险临时措施：升级WAF规则修复措施：升级log4j版本到2.17.2更新安恒SCA工具规则，通知各系统联系

9、人排查log4j组件情况，并上报资产管理系统，匹配log4j组件信息，下发到各联系人协助排查风险信息纳入到流程跟踪风险处置情况验证修复措施效果以及可能的影响。完成风险的处置总结：更新相关操作文档、组件推荐使用指南等因涉及供应链的合作，绝对的安全不存在，需要提升软件产品安全风险响应的速度log4jSpringshell02.软件产品管理维护面向企业的产品，很难说做到只管好自己就是安全的，尤其是风险会向下游传递的背景下信创软件企业上游供应方下游需求方信创软件产品收集风险信息报告风险信息整改风险补丁补丁信息公共服务平台上报上报上报上报其他情报中心收集风险信息提升关键信息在软件产业链上的传播速度03软件产品文档补充软件文档内容，引入安全性说明03.软件产品文档文档是否也可以提供安全配置的说明例如敏感接口标识、自助注册功能、文件后缀配置文档和软件是密不可分的关系（包括了软件界面的引导性说明）。误操作、误配置、使用默认密码等产生的风险依然很多软件配置界面是否可以提供风险说明软件安全性文档软件SBOM信息软件操作手册软件API接口软件配置项手册软件产品的安全性报告软件故障处理手册软件获取方式、联系方式等2023 WEST LAKEDIGITAL SECURITYCONFERENCE谢 谢THANK U更多资料请关注西湖论剑小程序