2020BCS-北京网络安全大会：企业级 DevSecOps 开源治理方案演进之路.pdf

1、2020北京网络安全大会2020BEIJING CYBER SECURITY CONFERENCEPERCONNRiSK企业级DevSecops开源治理方案演进之路WORLHAVIORAL ANALHUMAN PRCLOUFIONANALYTECHNOLOGY快速发布谁与争锋#page#THESPEAKER刘永强JFrog中国解决方案架构师空容器化（生命周期管理E持续交付-Devops云计算平台Arch SummitDevOpsDays专中88社区实践Devops SummitQcon大会嘉宾#page#2020北京网络安全大会DevSecOps闭环SecOpsDevPlanDetectCre

2、ateConfigureContinuousContinuousConfigurationImprovementMonitoringMonitoringContinuousContinuousAndAndIntegrationMonitoringAnalyticsAnalyticsContinuousContinuousDeploymentLearningPredictRespondVerifyPreprodContinuous Delivery#page#2020北京网络安全大会开源不等于安全开源！=安全商业！=安全我们的代码0.1%在整个软件中个开源组件几乎没有安全测试商业软件依赖开源（被

3、动依赖）m Linux redhat Suse！提供方没有安全意识Openstack安全问题需要投入更多的研发成本25.796组件使用者不关心第三方组件代码Kubenates51.9%一个漏洞，影响范围广Hadoop3.8%开源社区分享精神，维护者轻易把项18.5%目管理权交给其它人员黑客的目标一般是开源组性SelfLinuxLandscape78%的漏洞存在于间接依赖关系中NodejsKubernetesNode modules2000年2020年社区发展#page#2020北京网络安全大会Npm：event-stream事件020BEJINevent-stream包是一个Nodejs流数据

4、的JavaScript软件包。起因是event-stream项目的作者由于时间和精力有限，将其维护工作交给另一位开发者Right9ctrl，该开发者获得了event-stream的控制权将恶意代码注入。注入的恶意大约2000万+次的下载量周下载量在200万+次代码将会窃取比特币用户钱包持续时间为2.5个月”其他开源组件也有依赖内的私钥并发送至一个域名。#page#page#2020北京网络安全大会开源软件安全漏洞风险2019开源安全报告（Snyk）：开发者安全技能短板明显，热门项目成漏洞重灾区！已发现十大高风险组件Apache Commons9.36%的代码库6.54%Spring框架（版本未

5、指定）ApacheXMLXalan-Java（2.7.15.30%5.12%Nodejs（版本未指定4.95%FreeBSD（版本未指定）4.77%Zib（1.2.8SunJava平台标准版攻击者继续利用未打补丁的软件对重4.249（JRE）（J2RE）（版本未指要的基础设施组织进行攻击。zlib（版本未指定4.069根据US-CERT的统计，多达85%SunJava平台标准版SD3.89%的有针对性的攻击是可以预防的。3.18%开放BSDSunJava平台标准版#page#2020北京网络安全大会传统第三方依赖安全管理痛点Register to Security AlertsPlatform

6、 SpecificBroad ListsUbuntuUS-CERTNodejsNVDOpenssLOSVDB（your vendor sec list）#page#2020北京网络安全大会第三方组件安全管控难点无法定位问题影响范围-精准分析难ImpactlssueImpactSafelssue#page#2020北京网络安全大会企业开源治理痛点大多数企业缺少开源组件及软件的协企业使用开源软件缺乏安全评估、法务评厂估和引入流程议分析、漏洞评估及修复能力企业在开元软件或组件出现漏洞时，无法企业不清楚项目中使用了多少开鞋快速定位到漏洞组件的影响范围，并及时元软件和开源组件止损，禁止漏洞组件下载#pa