1、从0到1:
最初全量扫描 有风险的原则上全部出库。若风险组件为项目必须使用,项目组提交组件入库申请,或者 逐步推广 控增量、清存量,严格控制新增、对存量的限制固定时间内限期整改。
2、组件扫描:
入库、大版本全量扫描
3、入库申请:
开发申请工单,申请组件入库
安全/质量部门管理,将工单申请的组件包下载后,进行病毒扫描,病毒扫描没问题以后会放到测试网。
4、卡点要求:
组件如果包含严重或高危漏洞的,是必须排除、并且是阻断这种组件上传私仓,或从私仓中下载至本地的。(或者提交 限制级组件使用申请 及 规避措施)
企业内部 可列 组件、许可黑名单、白名单(导出nexus组件清单之后 用组件工具扫描 排除风险 保留一个或者几个可选版本 后期申请准入 再加进来)
对于黑名单的都是严禁使用的。一般黑名单管控,或者是涉及到一些商业协议,就会要求禁止使用。
5、入库组件有风险 又必须使用:
项目负责人 申请,填写限制级组件使用申请、整改计划和规避措施,安全、质量部门 审批后,可在组件仓库中单独授权给该团队使用。
申请制度,每个公司情况不同,酌情指定,主要可参考两种形式:报备制、申请制,如字面意思,一种是只要报备即可一种是需要采用有效的规避措施、审核通过后方可使用,工作量较大。
6、限制级组件使用申请
服务内容填写说明:
(1)限制级组件定义:不建议使用组件,全员默认无权下载,对于已使用团队,需提交限制级组件申请,且使用团队需独立承担所引发的风险后果。
(2) 限制级组件申请原因及组件数量
(3)请填写下方限制级组件信息表格内容
限制级组件信息: 所属、限制级组件坐标 (必) 、漏洞等级 (必) 、使用说明(必)、整改计划(必) 、规避措施(必)、团队账号 (必) 、联系人(必)、联系人电话 (必)、备注
能力完善的话,可以整理一个台账,提供风险组件版本对应的防护措施,提升风险组件修复效率。
企业所有的开源软件和容器镜象必须从开源治理平台中获取
严禁私自使用尚未引入的开源软件。
定期通过安全工具进行安全扫描,一旦发现私自下载使用的开源软件,将通报整改。
1.1 组件工具 自带阻断功能:
提供组件库的插件,安装插件后,这些违规操作都会被记录
SCA能够对组件库进行手动/定期扫描;然后对违规的上传/下载操作进行阻断,并生成阻断记录日志
能够定位到违规操作的ip、时间、操作人员等等
往组件库里上传组件,或者从组件库下载组件至本地。这两种操作 都会进过SCA插件扫描,然后对违规的操作直接阻断
1.2 审查项目开发所用的组件,是否在私服仓库引用
主要是为了管控开发,不让他们绕过企业组件库,私自下载
企业所有的开源软件和容器镜象必须从开源治理平台中获取
严禁私自使用尚未引入的开源软件。
SCA是本地部署的,系统配置中已配置了企业内部组件库,那么SCA分析在编译时就是基于这个组件库的。如果开发是私自引入的组件,组件库中没有这个组件,那么SCA扫描结果里,这个私自引入的组件就是不完全识别。因为无法在组件库中匹配到
确认组件不是完全识别,然后判断是否是因为与组件库无法匹配。是,则给组件增加标识,非组件库来源。提示安全人员,该组件非企业内部的组件库
已在FreeBuf发表 0 篇文章
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022