混合开发模式下的开源治理设计与应用-武鑫.pdf

1、混合开发模式下的开源治理设计与应用承办方：主办方：武鑫 某公司应用安全负责人，兼负责内部安全蓝军个人简介个人简介现状分析现状分析安全风险安全风险治理现状治理现状开发模式开发模式目录目录设计原则设计原则实践方案实践方案来自客户侧的、偏向于企业安全红线的开源软件安全漏洞要求来自真实攻击场景的、不修就被攻击的开源软件安全漏洞需求安全风险：漏洞安全风险：漏洞 客户要求整改漏洞SRC收到关于log4j的漏洞检测项目 开源软件已知未修复漏洞情况 A总数595，其中高/中/低：263/305/27 B总数1895，其中高/中/低：868/947/80 C总数522，其中高/中/低：196/289/37 D总

2、数342，其中高/中/低：109/201/32来自开源软件提供方的诉讼安全风险：许可证安全风险：许可证Npm官方仓库投毒：radar-cms 中的postinstall字段添加了一段恶意命令，导致K8S集群凭证窃取Python官方仓库投毒：covd恶意包投毒，用户安装时触发恶意代码，安装Python木马并内存执行安全风险：恶意代码安全风险：恶意代码官方仓库NPM：radar-cms安装触发：窃取kubeconfig文件Python：covd（covid）安装触发：窃取kubeconfig文件在上线之前进行主机和web漏洞扫描，设置卡点治理现状：漏洞扫描治理现状：漏洞扫描存在不足：业务在快速迭代

3、，安全拖慢速度DAST扫描，发现安全漏洞较为局限开发发布1、安全门禁检查2、遗留风险跟进运营1、监测开源软件漏洞信息；2、监测开源软件投毒情报；3、制定开源软件安全事件应急响应流程设计需求测试1、主机漏洞扫描2、web漏洞扫描3、客户端漏洞扫描除了等待事件发生、被动救火外，也做了一些前置性的工作。比如发现rpm包有供应链投毒情况治理现状：漏洞预警治理现状：漏洞预警开发发布1、安全门禁检查2、遗留风险跟进运营1、监测开源软件漏洞信息；2、监测开源软件投毒情报；3、制定开源软件安全事件应急响应流程设计需求测试1、主机漏洞扫描2、web漏洞扫描3、客户端漏洞扫描存在不足：效果依赖于资产管理，需要较强

4、的安全运营将安全检查和管控融入开发流程，是开源治理的最佳实践。开发模式：与开源治理有什么关系？开发模式：与开源治理有什么关系？序号 开发模式模式特点安全模型安全需求特点安全风险安全责任治理原则1瀑布模式1、开发周期长2、每个阶段目的明确，参与人员仅需专注个人部分SDLC1、重视过程文档，重人力投入执行缓慢1、漏洞2、许可证3、恶意软件安全团队1、设计原则一样2、部分方法一样3、融入流程不同2敏捷模式1、开发周期短2、以客户需求为导向，强调团队之间的高度协作DevSec1、强调快速迭代，自动化为最基本需求安全团队、研发团队3DevOps1、同上2、在敏捷的基础上，强调运维团队应该纳入协作范围De

5、vSecOps1、与敏捷模式需求一致2、结合云原生特点，出现弹性安全需求安全团队、研发团队、运维团队设计原则设计原则责任共担责任共担安全文化安全文化风险排序风险排序持续运营持续运营事件推动事件推动目录目录现状分析现状分析实践方案实践方案建立开源治理委员会，发布开源软件管理规范。明确相关方责任：开源软件源头负责人：负责所管开源软件的日常维护，包括但不限于技术选型、漏洞修复等；开源软件业务使用方：须使用公司提供的开源软件，若要引用其他软件须提交流程进行审批。责任共担责任共担网络安全部运营部信息系统运维中心安全大数据中心云平台产品部技术部法务中心平台研发平台运营源头管理支撑组织应用技术研发中心安全文

6、化的落地不仅在制度、职责、宣传等方面，更应该加强和相关方的沟通，切实关注和解决安全问题。另外在公司设立红黑榜机制，也能对安全工作起到推动作用。安全文化安全文化开源治理委员会定期会议定期或即时沟通安全问题及解决方案每天开源软件漏洞扫描每两周安全相关工作同步每月进行基础类开源模板更新每起开源软件安全事件复盘在开源软件存在的安全风险中，究竟该先治理哪一个？风险排序风险排序漏洞许可证恶意代码严重高危中危低危危险传参外部可控存在不安全的函数开源组件特定的配置开源组件版本与漏洞相匹配持续运营持续运营如何解决日益不断新增的漏洞？针对互联网侧披露最新开源软件漏洞，建立漏