一体两面
开源软件引入的红利与风险
中国联合网络通信有限公司软件研究院是中国联通集团提升自主研发能力的重要战略规划单位,主要承担中国联通集团内部业务支撑系统、管理支撑系统、大数据、软件研发等重要任务以及前瞻性技术研究与应用。
近年来,全球范围内有关软件供应链安全的攻击事件层出不断,Apache log4j2漏洞的爆发更进一步推动开源领域风险治理工作,让行业乃至国家认识到了问题的严重性。中国联通过去在长期的业务系统建设中引入了大量开源软件,如K8s、Ceph、Contiv、Istio、Redis、Kafka等,这些软件的引入在解决IT系统建设难题的同时节省了大量成本,为中国联通IT建设带来了许多技术红利。然而,由于未制定相应的开源组件使用规范,存在各个系统开源软件使用不一、复杂多样,开发人员在开发过程中未能关注开源组件的漏洞情况,开源组件安全漏洞反复出现,由开源软件直接或间接引发的故障占比较高。
为进一步深入落实中国联通集团“1+9+3”战略规划、筑牢数字化发展防线,结合中国联通研究院现有软件项目使用开源代码的比例逐步提高的现状,如何制定企业内部开源组件基线规则、保证开源组件引入的规范,是内部开源治理建设首要解决的问题。
悬镜源鉴SCA助力
携手打造开源治理新范式
为解决在引入开源软件后面临的各种风险,联通软研院引入悬镜源鉴SCA开源威胁管控平台https://oss.xmirror.cn/,基于国内首款源码组件成分分析、代码成分溯源分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪及开源供应链安全情报预警分析六大核心引擎的多模SCA开源数字供应链安全审查与治理平台,实现二进制文件、源代码以及运行时第三方组件的深度检测,助力治理工作的有效实施落地。
源鉴SCA产品能力全景
针对开源软件现状,联通软研院通过源鉴SCA重点建设了内部开源组件版本基线使用规则:
首先建立完善的组件选型机制,参考社区活跃程度、组件更新间隔时间、组件更新频率、是否仍持续更新以及开源许可证等多个维度辅助考量开源组件的版本基线范围设置;
其次,建立企业内部私服组件库,设置私服库入库和出库规则,通过开源安全工具扫描后方可出入库;
最后,结合在流水线构建阶段的基线阻断配置,通过在流水线构建过程中实时进行开源组件安全检测,若检测应用不符合开源组件基线使用规则,则阻断流水线的构建过程。
扎实提升开源组件风险控制能力
有效统筹业务发展与安全
面降低开源组件引入风险
方案建设落地后,联通软研院建立了内部的开源组件使用规范,研发人员在开源组件的引入及使用过程中即可确定组件的安全版本范围,在研发早期阶段规避了开源组件漏洞的引入,大大降低了开源组件漏洞修复成本,有效减少了业务上线时开源组件引入的风险。
组件资产测绘及台账可视化
源鉴SCA开源威胁管控平台自动化梳理软研院业务系统的组件资产,从企业、部门、项目及任务等多角度分析组件的影响范围和依赖关系,通过可视化拓扑图多维度展示DSDX SBOM清单,实现对软件物料清单的透明化管理,同时在安全事件发生时也能及时回溯风险组件的位置及影响范围,为解决组件风险快速提供依据。
构筑开源风险治理体系
联通软研院基于源鉴SCA的开源治理能力建立了企业级平台,可对各类型采购、自研、软件资产进行梳理和安全审查,进一步在内部建立开源治理组织架构,制定配套的开源治理管理制度和规范,逐步构筑起比较完备的开源风险治理体系,规范开源软件的引入、使用、治理、退出等全生命周期流程,做到全流程安全可控,进而提升开源治理能力。
实现DevSecOps敏捷安全
源鉴SCA与软研院已有DevOps流程无缝结合,在流水线的相应阶段自动发现应用程序中的开源组件,提供关键的版本控制和使用信息,并在DevOps的任何阶段检测到漏洞风险和策略风险时触发警报。所有信息通过安全和开发团队所使用的平台工具实时推送,全程不改变原有开发流程、无需额外安全测试时间投入,满足联通软研院敏捷开发和DevOps模式下软件产品快速迭代、快速交付的需求。
SCA技术已成为数字供应链开源治理的关键入口,悬镜安全始终坚持以技术创新为核心引擎,源鉴SCA是国内基于多引擎的SCA产品,作为悬镜第三代DevSecOps智适应威胁管理体系中开源治理环节的供应链安全管理与审查平台,专注于解决企业内引入的开源软件及数字供应链的安全风险问题。作为国内SCA技术的实践引领者,源鉴SCA已广泛落地于金融、车联网、泛互联网、智能制造、通信及能源等大量行业头部标杆用户,为其提供数字供应链全面可靠的安全保障,持续守护中国数字供应链安全。
扫一扫
612
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
