2020BCS-北京网络安全大会：敏捷开发中的开源安全治理.pdf

1、敏捷开发中的开源安全治理 开源安全治理的探索与实践 如何做 开源安全治理的思路 开源安全治理的价值 DevOps成熟度依赖低 较高的威胁确定性 足够的威胁震撼性 误报低、效率高、易自动化 投入产出比可观 开源安全治理所需能力 研发资产中开源软件及漏洞的识别能力 开源识别：对于给定的配置库、制品库或代码包，能 够通过技术手段，快速、准确的识别其中的开源软件及 其版本 漏洞识别：对于识别出的开源软件，能够关联并分析 该开源软件存在的漏洞信息 开源认证：提供资产软件与官方软件一致性认证能力， 避免软件被篡改，确保资产及工具链的安全性 开源软件资产登记及漏洞跟踪能力 资产登记：根据开源软件识别结果，保

2、存产品及其版本 与开源软件间的映射关系 漏洞跟踪：当开源软件漏洞数据更新后，能推送是否有 新的漏洞影响系统中正在使用的开源软件，一旦有新的 漏洞影响，能及时进行预警，确保不错过漏洞情报 开源安全治理的实现方式 安全能力集中接入 高易用、低感知的安全服务 统一的安全服务接口 数据集散及信息可视化 安 全 服 务 框 架 ， 核 心 是 对 多 种 安 全 验 证 工 具 、 能 力 进 行 统 一 封 装 ， 并 通 过 A P I 或 U I 交 互 ， 及 融 入 交 付 流 水 线 等 途 径 ， 向 开 发 团 队 提 供 便 捷 易 用 的 安 全 服 务 集 合 。 通 过 安 全

3、服 务 框 架 提 供 的 服 务 集 合 ， 贯 穿 软 件 开 发 的 完 整 生 命 周 期 ， 从 需 求 分 析 和 技 术 设 计 ， 直 到 上 线 运 营 及 运 维 。 同 时 ， 安 全 服 务 框 架 也 服 务 于 安 全 团 队 ， 向 其 提 供 一 系 列 安 全 管 理 服 务 。 实践与问题 解决历史、管控当下、防患未来 开源安全治理的实践 解决历史：存量开源漏洞梳理与整改 管控当下：开发流程的开源安全检查 防患未来：开源漏洞预警及应急响应 存量开源漏洞梳理与整改 梳理台账整改试点建立基线分批整改支持验证 p检测应用产品生产 分支 p建立开源软件漏洞 与产品映射关系 p梳理数据供管理层 整改决策 p框架类 p依赖JDK升级 p功能单一类 p技术可行、风险可 控 p区分存量与增量 p区分各整改批次 p漏洞级别和应用形 态分批整改，降低 风险 p共性解决方案