SDL安全建设:软件供应链SCA-开源组件安全管控流程-落地实践分享
2024-6-28 20:6:1 Author: www.freebuf.com(查看原文) 阅读量:4 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

1、从0到1:

最初全量扫描 有风险的原则上全部出库。若风险组件为项目必须使用,项目组提交组件入库申请,或者 逐步推广 控增量、清存量,严格控制新增、对存量的限制固定时间内限期整改。

2、组件扫描:

入库、大版本全量扫描

3、入库申请:

开发申请工单,申请组件入库

安全/质量部门管理,将工单申请的组件包下载后,进行病毒扫描,病毒扫描没问题以后会放到测试网。

4、卡点要求:

组件如果包含严重或高危漏洞的,是必须排除、并且是阻断这种组件上传私仓,或从私仓中下载至本地的。(或者提交 限制级组件使用申请 及 规避措施)

企业内部 可列 组件、许可黑名单、白名单(导出nexus组件清单之后 用组件工具扫描 排除风险 保留一个或者几个可选版本 后期申请准入 再加进来)

对于黑名单的都是严禁使用的。一般黑名单管控,或者是涉及到一些商业协议,就会要求禁止使用。

5、入库组件有风险 又必须使用:

项目负责人 申请,填写限制级组件使用申请、整改计划和规避措施,安全、质量部门 审批后,可在组件仓库中单独授权给该团队使用。

申请制度,每个公司情况不同,酌情指定,主要可参考两种形式:报备制、申请制,如字面意思,一种是只要报备即可一种是需要采用有效的规避措施、审核通过后方可使用,工作量较大。

6、限制级组件使用申请

服务内容填写说明:

(1)限制级组件定义:不建议使用组件,全员默认无权下载,对于已使用团队,需提交限制级组件申请,且使用团队需独立承担所引发的风险后果。

(2) 限制级组件申请原因及组件数量

(3)请填写下方限制级组件信息表格内容

限制级组件信息: 所属、限制级组件坐标 (必) 、漏洞等级 (必) 、使用说明(必)、整改计划(必) 、规避措施(必)、团队账号 (必) 、联系人(必)、联系人电话 (必)、备注

能力完善的话,可以整理一个台账,提供风险组件版本对应的防护措施,提升风险组件修复效率。

企业所有的开源软件和容器镜象必须从开源治理平台中获取

严禁私自使用尚未引入的开源软件。

定期通过安全工具进行安全扫描,一旦发现私自下载使用的开源软件,将通报整改。

1.1 组件工具 自带阻断功能:

提供组件库的插件,安装插件后,这些违规操作都会被记录

SCA能够对组件库进行手动/定期扫描;然后对违规的上传/下载操作进行阻断,并生成阻断记录日志

能够定位到违规操作的ip、时间、操作人员等等

往组件库里上传组件,或者从组件库下载组件至本地。这两种操作 都会进过SCA插件扫描,然后对违规的操作直接阻断

1.2 审查项目开发所用的组件,是否在私服仓库引用

主要是为了管控开发,不让他们绕过企业组件库,私自下载

企业所有的开源软件和容器镜象必须从开源治理平台中获取

严禁私自使用尚未引入的开源软件。

SCA是本地部署的,系统配置中已配置了企业内部组件库,那么SCA分析在编译时就是基于这个组件库的。如果开发是私自引入的组件,组件库中没有这个组件,那么SCA扫描结果里,这个私自引入的组件就是不完全识别。因为无法在组件库中匹配到

确认组件不是完全识别,然后判断是否是因为与组件库无法匹配。是,则给组件增加标识,非组件库来源。提示安全人员,该组件非企业内部的组件库

已在FreeBuf发表 0 篇文章

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/articles/es/401990.html
如有侵权请联系:admin#unsafe.sh