基于软件物料清单的平台工程安全思考丨平台工程技术大会.pdf

1、基于软件物料清单的平台工程安全思考韩春雷|安易科技创始人兼CEO020304平台工程中的软件物料风险分析平台工程软件物料安全治理方法论平台工程软件物料风险治理实践01公司背景简介公司背景介绍专注于云原生安全领域，提供基于智能自学习的云原生安全解决方案。自主研发AneSec云原生安全管理平台，为云原生应用全生命周期提供识别、检测、防护、响应的闭环安全检测与防护能力。公司定位公司优势融合团队，云+安全专家国内唯一具有20+年云计算与安全融合经验的团队，对内核、虚拟化Hypervisor、Container底层有深入理解；具有参与过2022年冬奥重保，20202022年多次HW经验的专家及安全服务人

2、员，参与安全能力开发及安全运营工作。技术领先，从容器底层解决问题 公司自主知识产权的云原生安全产品采用无损非侵入采集方案，安全检测基于Kubernetes的原生安全策略引擎技术；国内首家提出并实现了KSPM（K8S安全态势管理）；国内首家基于内核eBPF技术实现入侵检测与云原生容器防火墙。国内首家实现云原生东西向流量网络可观测性。云计算及安全厂商全面合作成为AWS、百度云、阿里云、道客云、云轴、谐云、奇安信等云厂商和安全厂商合作伙伴。多行业大规模实际落地实践在运营商、金融、互联网、高端制造等行业具有多个数千节点的实际部署案例，获得了行业客户的高度认可。公司获得的产品资质及荣誉软著专利行业标准生

3、态认证行业荣誉020304平台工程中的软件物料风险分析平台工程软件物料安全治理方法论平台工程软件物料风险治理实践01公司背景简介软件供应链及软件物料清单“软件供应链”是用于构建软件应用程序的组件、库和工具的集合。软件供应商通常通过组装开源和商业软件组件来开发产品。软件物料清单(SBOM)声明了该供应链的部分或大部分。Wikipedia6传统制造/销售原料/零件工厂仓储/零售消费者自研代码/外部依赖构建系统制品仓库软件开发/部署运行环境软件供应链安全事件 形势日益严峻7“By 2025,45%of organizations worldwide will have experienced att

4、acks on their software supply chains,a three-fold increase from 2021.”202220212020201920182017FossHubKeydnapKingslayerFoxif/CCleanerHandbrakeElmediaacroreadColourama来源：https:/ AgamaPEARCanonicalPyPI typosquattingSolarWindsnpm installerROSsonarqubenodejsoctupusTravis CISawFishPHPNissanSITAXcodeCodeco

5、vKaseyaLog4jNntendo WiicoarcGoDaddyTwitchSshiSwapBangkok AirwaysSyniverseua-parser-jsVSCodenpm colorsnpm fakernode ipc软件供应链安全问题 开源软件风险应用程序不再是从零开始编写，第三方组件被大量使用并组装到应用程序中应用程序中有60%-80%是开源代码*开源组件被广泛使用，提高了开发人员的效率，加快了软件开发迭代速度，但也带来了更多的安全风险安全漏洞License合规版本陈旧/停止维护98%的软件包含开源代码。其中84%包含至少一个漏洞，平均漏洞数量是1582.2万亿开源组件下

6、载数量2021年增长73%，总下载次数达到了2.2万亿次650%相比2020年，2021年针对开源软件的供应链攻击增长650%630万四大开源生态(Java、JavaScript、Python、.NET)2021年发布了72万个新项目和630万个新版本来源：2021 Open Source Security and Risk Analysis Report-SynopsysA.提交有风险的代码B.破坏代码仓库C.编译篡改过的代码D.污染构建环境E.使用有问题的依赖F.发布被篡改的包G.破坏软件包仓库H.使用被篡改的软件包9软件供应链安全问题 开发流程及工具链风险来源：Google SLSA F