2024龙蜥大会技术实践分论坛：龙蜥软件供应链安全数据体系建设实践和思考-郑耿 周彭晨.pdf

《2024龙蜥大会技术实践分论坛：龙蜥软件供应链安全数据体系建设实践和思考-郑耿 周彭晨.pdf》由会员分享，可在线阅读，更多相关《2024龙蜥大会技术实践分论坛：龙蜥软件供应链安全数据体系建设实践和思考-郑耿 周彭晨.pdf（17页珍藏版）》请在三个皮匠报告上搜索。

1、 以SCA和统一签名服务为例龙蜥软件供应链安全数据体系建设实践：龙蜥软件供应链安全架构师阿里云技术专家郑耿阿里云技术专家周彭晨龙蜥软件供应链安全数据体系什么是SSCS数据体系？建设SSCS数据体系的必要性如何建设SSCS数据体系0101龙蜥软件成分分析SCA工具SCA工具特性0202龙蜥软件供应链数据安全问题龙蜥软件供应链数据安全分析龙蜥软件供应链数据碎片化问题0303龙蜥统一签名服务建设实践统一签名服务架构设计plugin system over gRPCKey 管理流程0404龙蜥软件供应链安全数据体系软件供应链安全数据体系采集清洗入库查询使用软件成分License 知识库CVE 数据库软

2、件上游信息版本信息软件合规分析漏洞分析稳定性/断供分析软件版本变更软件供应链安全数据体系 组件名 组件版本 组件上游地址 组件官网 组件描述信息 组件证书信息 组件copyrights信息 补丁信息 三方组件/库依赖 开发工具依赖 开发环境依赖 构建环境依赖 构建工具依赖 构建包依赖 软件制品信息 软件发布信息 软件供应商信息 软件下载地址 软件完整性保护（hash值）软件签名信息 安装包依赖 安装环境依赖研发构建发布安装数据体系建设（以SBOM为例）龙蜥软件成分分析什么是龙蜥的软件成分分析软件全生命周期源码依赖、构建依赖、制品依赖运行时依赖准确度高广义软件成分分析狭义软件成分分析软件制品制品

3、依赖误报率高分析对象分析结果准确率龙蜥的软件成分分析特点*表示特性正在研发中数据覆盖面广包含代码依赖/构建依赖/运行时依赖等信息提供片段级代码依赖检测*数据精度高基于特征文件的依赖信息识别和提取基于静态分析的代码克隆检测能力使用方便命令行工具无缝集成到龙蜥软件供应链安全基础设施扩展性强模块化设计提供插件能力，可按需定制直接从研发各环节采集依赖数据针对操作系统制品特性，深度定制龙蜥软件供应链数据安全问题龙蜥软件供应链数据安全分析软件供应链 SBOM 数据 Threat Model统一签名服务Unified Digital Signature Service,UDSSMitigation源码完整性

4、构建完整性系统完整性元数据完整性软件供应链 SBOM 安全边界与攻击向量 编写不安全的代码；绕过 Code Review；入侵源码管理系统；使用不可信源码进行构建；入侵构建系统；打包和发布在官方流程之外构建的软件；入侵内部或外部代码库；使用被破坏的组件进行部署；破坏部署过程；部署被破坏或不合规的软件；运行软件中存在漏洞或配置错误；使用不健康的依赖；软件供应链数据碎片化问题以 Anolis OS 场景为例存在安全风险，例如本地存储密钥与软件供应链是脱节的松耦合，分散在不同的阶段，没有统一的身份鉴权；能力缺失没有集成，对各类标准、格式、工具、KMS 缺乏统一支持；注意事项龙蜥统一签名服务建设实践龙

5、蜥统一签名服务架构简单、透明、安全、高度集成的软件供应链统一签名服务plugin system over gRPC支持多后端动态扩展的弹性框架 抽象出一个统一的 gRPC protobuf 用于UDSS core 进程与插件进程之间的交互，将插件进程与 UDSS core 进程解耦保证主进程服务的安全性 利用 cgroup 和 namespace 对插件进行资源使用限制 利用 Pdeathsig 和信号量控制进程进行保活从而实现插件的高可用能力 gRPC 是多语言支持的，只要满足 UDSS plugin sdk 的定义就可以接入 UDSS 系统做扩展，这也提升了 UDSS 的易用性龙蜥统一签名Key管理流程用户场景与权限分离的key管理流程从安全性的角度出发，key 不光与申请使用的用户/服务绑定，同时还跟使用场景绑定。从流程上保证专“key”专用，同时也方便后续的升级轮转