报告预览

2020BCS-北京网络安全大会：企业级 DevSecOps 开源治理方案演进之路.pdf

编号：29405

PDF 26页 6.69MB 下载积分：VIP专享

下载报告请您先登录！

2020BCS-北京网络安全大会：企业级 DevSecOps 开源治理方案演进之路.pdf

1、2020北京网络安全大会2020BEIJING CYBER SECURITY CONFERENCEPERCONNRiSK企业级DevSecops开源治理方案演进之路WORLHAVIORAL ANALHUMAN PRCLOUFIONANALYTECHNOLOGY快速发布谁与争锋#page#THESPEAKER刘永强JFrog中国解决方案架构师空容器化（生命周期管理E持续交付-Devops云计算平台Arch SummitDevOpsDays专中88社区实践Devops SummitQcon大会嘉宾#page#2020北京网络安全大会DevSecOps闭环SecOpsDevPlanDetectCre

2、ateConfigureContinuousContinuousConfigurationImprovementMonitoringMonitoringContinuousContinuousAndAndIntegrationMonitoringAnalyticsAnalyticsContinuousContinuousDeploymentLearningPredictRespondVerifyPreprodContinuous Delivery#page#2020北京网络安全大会开源不等于安全开源！=安全商业！=安全我们的代码0.1%在整个软件中个开源组件几乎没有安全测试商业软件依赖开源（被

3、动依赖）m Linux redhat Suse！提供方没有安全意识Openstack安全问题需要投入更多的研发成本25.796组件使用者不关心第三方组件代码Kubenates51.9%一个漏洞，影响范围广Hadoop3.8%开源社区分享精神，维护者轻易把项18.5%目管理权交给其它人员黑客的目标一般是开源组性SelfLinuxLandscape78%的漏洞存在于间接依赖关系中NodejsKubernetesNode modules2000年2020年社区发展#page#2020北京网络安全大会Npm：event-stream事件020BEJINevent-stream包是一个Nodejs流数据

4、的JavaScript软件包。起因是event-stream项目的作者由于时间和精力有限，将其维护工作交给另一位开发者Right9ctrl，该开发者获得了event-stream的控制权将恶意代码注入。注入的恶意大约2000万+次的下载量周下载量在200万+次代码将会窃取比特币用户钱包持续时间为2.5个月”其他开源组件也有依赖内的私钥并发送至一个域名。#page#page#2020北京网络安全大会开源软件安全漏洞风险2019开源安全报告（Snyk）：开发者安全技能短板明显，热门项目成漏洞重灾区！已发现十大高风险组件Apache Commons9.36%的代码库6.54%Spring框架（版本未

5、指定）ApacheXMLXalan-Java（2.7.15.30%5.12%Nodejs（版本未指定4.95%FreeBSD（版本未指定）4.77%Zib（1.2.8SunJava平台标准版攻击者继续利用未打补丁的软件对重4.249（JRE）（J2RE）（版本未指要的基础设施组织进行攻击。zlib（版本未指定4.069根据US-CERT的统计，多达85%SunJava平台标准版SD3.89%的有针对性的攻击是可以预防的。3.18%开放BSDSunJava平台标准版#page#2020北京网络安全大会传统第三方依赖安全管理痛点Register to Security AlertsPlatform

6、 SpecificBroad ListsUbuntuUS-CERTNodejsNVDOpenssLOSVDB（your vendor sec list）#page#2020北京网络安全大会第三方组件安全管控难点无法定位问题影响范围-精准分析难ImpactlssueImpactSafelssue#page#2020北京网络安全大会企业开源治理痛点大多数企业缺少开源组件及软件的协企业使用开源软件缺乏安全评估、法务评厂估和引入流程议分析、漏洞评估及修复能力企业在开元软件或组件出现漏洞时，无法企业不清楚项目中使用了多少开鞋快速定位到漏洞组件的影响范围，并及时元软件和开源组件止损，禁止漏洞组件下载#pa

7、ge#2020北京网络安全大会如何管控治理？发88廿安全左移&全生命周期管理统一入口&控制源头依赖组件分析管理漏洞数据源jcenter，dockerHub等大的通过搭建内网私服制品哭统一管NVD、CNVD、VlunDB从开发、构建、部署、运行进行全第三方源站生命周期管控&治理理并通过构建工具进行组件分析#page#2020北京网络安全大会全球二进制依赖管理工具使用情况960680%70%60%50%python40%Onuge30%LLL20%店10%0%#page#could not load livereload-jse2.3.0 error= socket hang upINFOcoul

8、d not load typescripte3.3.3error=sockethang upINFO Reactor Build Order:could not load urixen9.1.0status=404could not load to-regex-range2,1.0error=socket hang uppoCINFOSinple Multi Modules Build testcould not load pseudomape1.0.2 error= socket hang upINFOMlti1jorgrunt1.2.1，CINFO Mlti 2Ljorgrunt-lega

9、cy-1og2.0.0，CINFO Mlti 3FNorCINFOgrunt-known-options1.1.1CINFO-findup-synce0.3.0，4INFO Building Sinple Mlti Modules Build test7.0.1-SNAPSHOTgrunt-clie1.3.2，LINFO-pom-eventemitter2e0.4.14，LINFOTdateformat3.0.3，INFOTmaven-dependency-plugin:2.8:list（defoult-cli)multiglobe7.1.6，TINF07grunt-legacy-utile1

10、.1.1，The following files have been resolved:TNFO1exiteo.1.2”CINFOiconv-lite.4.24，CINFOCINFOjs-ycmle3.14.0INFOminimatche3.0.42/4INFOBuilding Mlti17.0.1-SNAPSHOTrimrafe3.0.2，INFOT-jar-mkdirpe1.0.4，LINFOeslint-config-grunt1.0.1LINFOT-maven-dependency-plugin:2.8:list（default-cli）mlti1-difflete1.0.1，grun

11、t-contrib-nodeunit2.1.0Tha following files have been resolved:grunt-contrib-watchel.1.0，INFOLINFOgrunt-eslinte18.1.，comons-logging:comons-logging:jar:1.1.1:compileTNFO7Comons-io:comons-io:jar:1.4:compiletemporarye0.0.8LINFOaopalliance:copalliance:jar:1.0:compilecolorse1.1.2，LINFOjavax.servlet.jsp：js

12、p-opi:jar:2.1:compilegrunt-legacy-log-utilse2.0.1LINFOons:commons-email：jar:1.1:compilelodashe4.17.19INFOorg.testngtestngjar:jdk15:5.9testglobe5.0.15，INFOjunit:junit:jar:3.8.1:testnopte3.0.6”LINFOjavax.activationactivation:jar:1.1:compile#page#2020北京网络安全大会单一可信源9运维人员开发团队制品库管理统一管理Nexus开发团队docker开发团队NP

13、Mmaven开发团队安全管控C）下载更快开发团队nmDocker Registry开发团队python开发团队O qradleNuget开发团队可信互联网共有仓库统一开源漏洞扫描互联网研发测试区生产区#page#2020北京网络安全大会解决方案案例开源治理方案及路线图持续优化治理方案监管阶段缩减漏洞白名单范围，降低安全风险1、启用禁用策略2、设置全局级、应用级白名单，例外禁用3、制定组织级开源治理方案初步治理1、按项目接入制品库，分步搭建开源软件基线库监控阶段2、出接入报告，不启用禁用策略1、开源软件摸查，出整体开源软件漏洞报告2、建立基线库的机制3、建立监管机制，即开源软件禁用策略#page

14、#2020北京网络安全大会第三方组件使用管控制品仓库DMZ仓库公网仓库通过信任包运JcenterMavenCI构建第三方包代理中间仓库维Docker HubDocker非信任禁止下载）Maven、Docker研全局管控发DEV表单申请漏润数据集安建立漏洞库白名单NVD申请原因一影响分析定时更新Security信任全VulnDB周期永久商业开源包名一版本号、规则白名单微服务组织级别白名单Artifacts Build info自定义扫描任务DCOr ExcelpiingUpload to ArtifactoryScan1.高危漏洞A.b.c.d全剧信任白名单A项目基于项目细粒度管控2.白名单验证

15、ABArtifacts Build infoBuildScanXUpload to Artifactory组织级别白名单高危漏润A.b.c.d.eB项目CD#page#2020北京网络安全大会组件&漏洞数据源技术栈组件信息源漏洞信息源NVD:https/nvd.nist.govJavaHtps/ pAum/sdmOANNVD:https/nvd.nist.govRuby（gems）https/rubygems.org/CNVD:https/ IntegrationCODEauneCOMPANCEODUCTIO#page#2020北京网络安全大会JFrogXray-全生命周期保护MONITORC

16、ODE提供分析报告依赖组件元数据LEARN依赖分析CI/CD集成在IDE中PIPELINERUNTIMEBUILDRELEASE/生产漏洞报告与CI集成DISTRIBUTION影响分析图规则管理修复建议停止引用有漏洞组件的构建任务阻止下载安全分发阻止下载#page#2020北京网络安全大会DevSecOps-运行时安全管控KubeXrayPODPODJFrogArifactoryJFrogXrayIgnore） Delete店） Scale-Downkubernetes#page#2020北京网络安全大会组件&漏洞数据源SecurityOOOOQDevelopmentQARequirement

17、DesignTesting#page#2020北京网络安全大会管控盲区-License管控020 BELJING CYBE为什么要有开源协议？1.保护原作者的知识成果防止被恶意利用。开源协议中一般都包含有免责声明，可以防止原作者承担相应风险和后果。比如你开源了一个破解Windows秘钥的软件，而使用者却用来进行商业资料取，那么你是不需要为此承担责任的。2.保护使用者的权利使用者可以知晓经授权和未经授权的操作。防止你使用未添加协议（可能未授权）的代码，而使原作者起诉你#page#2020北京网络安全大会License管控的必要性知识产权风险开源许可证兼容性风险安全风险违约风险随着开源软件的不断发

18、展，社区里出现了各式各样的License许可证，如果你使用了不合适的许可证软件，会为公司带来法律上的纠纷，同时，如果因为开源组件License选用不当，导致在交付的时候需要进行开源组件的替换，那随之带来的开发工作量也非常巨大。所以选择合适的许可证应该在第一时间进行。开源软件提倡公开、自由与创新等开源精神，为推动软件产业的发展起到了积极作用。但是，个人或企业在使用或引入开源软件的过程中，将不可避免地面临知识产权上的风险。如个人或企业在使用或引入开源软件，因为不了解知识产权风险而引起相关法律或商业争议，将可能给个人或企业在经济或声誉等方面带来巨大的损失。OSI开源协议查询的网站httpps:/op

19、ensource.org/licenses/alphabetical#page#2020北京网络安全大会常见的6种开源协议开源不等于免费，开源也不等于没有约束LGPLMozillaS3ANO他人修改源码后是否可以闭源？GPLSA个修改过的NONOYES新增代码是否采用件，是否都必须同样许可证？置版权说明BSD他人修改源码他人修改源码后是否可以闭源？是否可以闭源？MITNOYESNOYESApacheGPL许可证BSD许可证MIT许可证LGPL许可证Mozilla许可证Apache许可证#page#2020北京网络安全大会开源治理解决方案Open source governance soluti

20、ons统一引入管理风险识别风险记录沟通风险处置统一管理平台开源许可证风险风险记录处置指导安全风险沟通机制漏洞修复统一审核流程#page#2020北京网络安全大会020BEIJINGTYCONFEFLRiSKPERCONNGENCESMANAGEMEWEAPONIZATALWAREDIGITEADATAHYPERGUEQ&ADEVSECOPS司SECURITMGDPR LEARNINGUPPLY CHAINTRUAFENDPOIMBEHAVIORAL ANALNETWORAIloTHUMAN PROCRIICALCLOUEINTERNETIONBEHAVIORALANALYRESPONSETECHNOLOGY#page#

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（2020BCS-北京网络安全大会：企业级 DevSecOps 开源治理方案演进之路.pdf）为本站（X-iao）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。

上海品茶

2020BCS-北京网络安全大会：企业级 DevSecOps 开源治理方案演进之路.pdf

2020BCS-北京网络安全大会：企业级 DevSecOps 开源治理方案演进之路.pdf