安在 - 諸子云 | 活動：5.28南京開發與軟件供應鏈安全主題沙龍－鑽石舞台

Jun 02 Thu 2022 23:01
安在 - 諸子云 | 活動：5.28南京開發與軟件供應鏈安全主題沙龍

網絡產品和服務供應鏈安全風險在當前日趨嚴峻的網絡安全形勢下日顯突出，一旦出現問題會給關鍵信息基礎設施帶來嚴重危害。黨中央和國務院高度重視關鍵信息基礎設施的供應鏈安全，習近平總書記曾經指出：「供應鏈的『命門』掌握在別人手裡，那就好比在別人的牆基上砌房子，再大再漂亮也可能經不起風雨，甚至會不堪一擊。」

而對於絕大多數企業、組織來說，供應鏈可能龐大而複雜，涉及許多供應商做着許多不同的事情。因此，有效地保護供應鏈可能會很困難，因為漏洞或許是固有的，會在供應鏈的任意一點上被人引入、利用，所以在這樣的環境下，脆弱的供應鏈便會造成系統業務的損害和中斷。

基於此，5月28日諸子云南京分會舉辦了「開發與軟件供應鏈安全」的主題沙龍。現場專家從供應鏈風險識別與控制到供應鏈安全治理都做了詳細的解讀，只為助力供應鏈安全高效發展。

本次主題沙龍由諸子云南京分會主辦，會長宋士明擔任主持。活動有幸邀請南京蘇寧金融、正大天晴、蘇寧易購、南瑞、中通服、紫金保險、南京欣網互聯網科技有限公司、天合光能、Zte、南京證券、港口集團科技公司、江蘇省聯合徵信有限公司、江蘇銀承網絡科技股份有限公司、江蘇新視雲、浩鯨雲技術科技股份有限公司、鼎捷軟件等企業的安全專家參與。

《開發安全能力體系建設思考》

莊飛某金融企業應用安全團隊負責人

實戰攻防中遇到的很多安全問題根源都在軟件的應用層，比如高危框架或中間件、第三方開源組件漏洞、業務邏輯問題、未安全編碼、安全配置錯誤、敏感數據保護不足、設計不當等，而解決這些問題，則需要從軟件開發早期階段進行介入，即「安全左移」，從源頭管控安全風險。

為了實現軟件安全開發全生命周期管理，需要建立體系化的開發安全能力框架，開發安全能力框架由管理、技術及運營體系組成：安全管理體系，包含組織人員、制度標準、安全培訓等；安全技術體系，包含技術規範、安全流程、安全工具鏈建設、安全產品研發等；安全運營體系，包含漏洞運營、SDL運營、安全度量等。

系統上線前，都需經過安全評估。安全評估流程主要活動有輕量級威脅建模、架構評審、安全設計、源代碼安全掃描、開源組件安全掃描、黑盒安全掃描、交互式安全測試、滲透測試、安全基線檢測、剩餘風險評級與接收等。

對於開發安全而言，需要關注產品相關的所有技術領域，識別風險並提供安全解決方案，如web安全、移動安全、雲原生安全、供應鏈安全、AI安全、大數據安全等。比如容器安全，需要對容器進行全生命周期安全管理，對基礎鏡像進行入庫掃描，構建時在DevOps平台中集成容器鏡像安全掃描，對容器以及K8S定製安全配置基線，生產環境中通過容器安全平台實現微隔離、可信容器管控、運行時安全防護、威脅檢測等。

為了提升安全評估效能，自研了三叉戟SDL全流程賦能平台，賦能項目組自助進行評估，平台主要功能有輕量級威脅建模、自動化安全測試、漏洞管理等。

對於企業來說，需要時刻關注自身的攻擊面，實時感知應用系統的安全風險狀況，因此需要構建應用系統安全風險洞察系統，基於資產、情報、漏洞、運行環境等風險要素，對應用系統進行安全風險畫像，通過風險分析、權重分配等算法，計算出整個應用系統的風險評分，定量的呈現應用系統的風險狀態。

對於開發安全，為了進行安全運營。開發安全運營包括應用系統漏洞閉環運營、項目安全評估運營、安全測試工具能力提升運營、軟件安全成熟度評估等。通過運營，發現開發安全存在的問題，如安全評估覆蓋率低、安全測試工具誤報率高等，制定計劃進行優化，持續提升開發安全能力成熟度。

《探索軟件供應鏈安全治理》

韓繼默安科技雲安全業務架構師&技術總監

網絡運營者應加強網絡運維管理，因業務需要確需通過互聯網遠程運維的，應進行評估論證，並採取相應的管控措施。網絡運營者應採購、使用符合國家法律法規和有關標準規範要求的網絡產品及服務，第三級以上網絡運營者應積極應用安全可信的網絡產品及服務。

軟件供應鏈風險面的不斷增加，如IDE插件投毒、代碼倉庫風險、CI/CD平台缺陷、代碼漏洞、三方組件與基礎環境等風險。

根據軟件供應鏈的特點，軟件供應鏈的業務流程可以抽象成開發、交付以及應用三個環節，分為供應鏈引入環節、軟件生產環節、軟件應用環節。

對於軟件供應鏈安全治理方案，得從源頭解決軟件供應鏈的輸入，比如需要STAC威脅建模平台提前將開發、測試等報告生成好。再比如需要SCA對組件安全管理，快速定位組件位置，對業界突發的組件漏洞進行快速定位和管理，其中包含了私庫拉取公庫組件時通過SCA安全策略對組件進行檢測，保障私庫的持續可信；開發人員向私庫添加組件，首先通過SCA掃描報備安全人員，維護安全策略然後進行組件添加等。

其中，聯動STAC通過SCA在開發階段對威脅建模安全要求進行驗證，通過虛擬庫、質量門實現三方組件的准入策略，通過IDE插件、模擬構建實現開發側的安全檢測與私有組件的依賴分析。

而在開發測試階段還可以通過代碼審計、安全測試等方式保障應用的安全，這一側屬於代碼安全。同時結合相關工具實現與STAC威脅建模的聯動，在測試階段完成安全需求的驗證。

而軟件應用階段如何確保風險的有效控制？分為上線/發布環境控制和運行階段控制。

上線/發布環境控制關鍵點在於保證存在已知風險的軟件無法引入，引入之後要記錄備案形成資產信息庫。而痛點在於採購的商業軟件安全質量不達標，開源、免費（公益）軟件存在安全風險，基礎服務版本、操作系統版本存在風險。因此所面臨的風險為基礎服務風險、軟件代碼風險、開源組件風險、三方服務未知風險等。

所以要建立一般環境下安全監測能力、處置能力。圍繞發布環境實際情況，針對一般環境中操作系統漏洞和基線情況提前檢測確保安全性，之後再部署。同時對於已經上線的生產環境應用對於突發漏洞情況有快速處置的能力。

其次要建立雲環境下安全監測能力、處置能力。在雲、雲原生環境下的容器鏡像安全及配置問題，提前檢測確保安全性，之後再部署。同時對於已經上線的生產環境應用對於突發漏洞情況有快速處置能力。

運行階段控制需要建立開源軟件漏洞運營能力，即在軟件運營期間，持續檢測開源軟件的漏洞情況，一旦發現嚴重漏洞應儘快定位影響範圍，並採取應急措施。採用的工具包括SCA、DAST等，並配合開源漏洞安全運營服務，應急響應服務。

並建立敏感信息泄漏監測與攻擊面管理機制，防止敏感信息、代碼泄漏導致安全風險，建立持續的代碼泄漏監測機制，重點監控GitHub等平台是否包含敏感代碼。採用的工具包括DAST、CSPM等，同時做好攻擊面管理。

最後建立建立軟件供應鏈安全運營規範，即從運營業務角度出發，幫助建立《軟件發布平台安全運營規範》、《開源軟件漏洞運營規範》、《軟件敏感信息監控規範》等管理文檔。

不同場景下的治理方法包括採購商業軟件、軟件外包開發、軟件自主開發、軟件對外發布、多級架構下的統一監管、軟件生命周期漏洞跟蹤閉環等。

結合軟件供應鏈安全管理流程，建立自助式的項目流轉提測服務。以漏管理為維度，響應第三方監管政策，對安全事件進行效能督導，實現安全工作的效能跟蹤。內嵌組件安全/代碼審計/IAST插樁/資產安全引擎能力，結合企業組織架構權限，進行漏洞下發，指派，修復跟蹤，全生命周期時間軸。基於業務統一業務標準，實現統一對外對接技術接口和業務接口，橫向擴展安全引擎能力，實現軟件供應鏈風險統一納管分析。

《軟件供應鏈中的數據安全》

馮文秀天空衛士華東區技術總監

調研結果顯示，數據泄露平均成本從2020年的386萬美元上升到424萬美元，平均每條數據泄露的成本從去年的146美元上升為161美元，由於新冠疫情，遠程工作和數字轉換增加了數據泄露的平均總成本，數據泄露的平均總成本增加了10%。

從數據安全角度看供應鏈安全分為三個階段，第一個是研發階段，分為自研和外包，包含軟件源代碼、軟件設計文檔、軟件設計文檔、軟件接口文檔、數據存儲設計文檔、第三方知識產權保護等。第二個是交付階段，包含系統配置信息，賬號密碼信息，系統採集、傳輸、使用、存儲應用相關敏感信息等。第三個是運營階段，包含生產取數數據安全、運維數據安全、代維團隊數據安全、第三方數據共享等。

數據安全能力成熟度模型（Data Security Capability Maturity Mode,簡稱DSMM）是國內首部數據安全領域的國家標準，基於數據生命周期及通用安全過程定義數據安全過程域和基本實踐，指導組織機構如何滿足目標能力成熟度等級所對應的安全要求。以數據為中心，圍繞數據生命周期，包含組織建設、制度流程、技術工具、人員能力4個能力維度。

研發階段數據安全防護方案，可以設置DLP內容安全網關，同時實現郵件MTA內容審查、審批，代理更新流量下載安全病毒木馬查殺。範圍：應用組件更新及外發郵件檢查；設置DLP內容網關，反向代理+DLP模式，實現項目管理應用JIRA 等源碼下載安全審查；設置DLP內容網關，一台UCWI，採用RefulAPI方式對接相應區域文件擺渡系統，實現文件擺渡交換的內容審查；設置DLP內容網關，採用旁路或串行方式，實現代碼發布場景審查；設置本地終端上數據交互，採用DLP Agent 組件安裝方式，實現終端機邊界數據交互審查。

交付階段數據安全保護方案，可以設置數據中心和雲端防護，包括在終端DLP、發現DLP、網絡DLP、應用DLP、郵件DLP、WEB安全網關、移動APP DLP、ITM上設置防護。

運營階段數據安全防護方案，主要關注API接口內容安全、生產取數數據安全、運維/代維數據安全。