SDL安全建设:软件供应链SCA-开源组件安全管控流程-落地实践分享

2024-06-06 380 0

风险管理实践-对接组件库-安全管控流程

引入管理

1、从0到1:

最初全量扫描 有风险的原则上全部出库。若风险组件为项目必须使用,项目组提交组件入库申请,或者 逐步推广 控增量、清存量,严格控制新增、对存量的限制固定时间内限期整改。

2、组件扫描:

入库、大版本全量扫描

3、入库申请:

开发申请工单,申请组件入库

安全/质量部门管理,将工单申请的组件包下载后,进行病毒扫描,病毒扫描没问题以后会放到测试网。

4、卡点要求:

组件如果包含严重或高危漏洞的,是必须排除、并且是阻断这种组件上传私仓,或从私仓中下载至本地的。(或者提交 限制级组件使用申请 及 规避措施)

企业内部 可列 组件、许可黑名单、白名单(导出nexus组件清单之后 用组件工具扫描 排除风险 保留一个或者几个可选版本 后期申请准入 再加进来)

对于黑名单的都是严禁使用的。一般黑名单管控,或者是涉及到一些商业协议,就会要求禁止使用。

5、入库组件有风险 又必须使用:

项目负责人 申请,填写限制级组件使用申请、整改计划和规避措施,安全、质量部门 审批后,可在组件仓库中单独授权给该团队使用。

申请制度,每个公司情况不同,酌情指定,主要可参考两种形式:报备制、申请制,如字面意思,一种是只要报备即可一种是需要采用有效的规避措施、审核通过后方可使用,工作量较大。

6、限制级组件使用申请

服务内容填写说明:

(1)限制级组件定义:不建议使用组件,全员默认无权下载,对于已使用团队,需提交限制级组件申请,且使用团队需独立承担所引发的风险后果。

(2) 限制级组件申请原因及组件数量

(3)请填写下方限制级组件信息表格内容

限制级组件信息: 所属、限制级组件坐标 (必) 、漏洞等级 (必) 、使用说明(必)、整改计划(必) 、规避措施(必)、团队账号 (必) 、联系人(必)、联系人电话 (必)、备注

能力完善的话,可以整理一个台账,提供风险组件版本对应的防护措施,提升风险组件修复效率。

安全使用管理:

企业所有的开源软件和容器镜象必须从开源治理平台中获取

严禁私自使用尚未引入的开源软件。

定期通过安全工具进行安全扫描,一旦发现私自下载使用的开源软件,将通报整改。

1.1 组件工具 自带阻断功能:

提供组件库的插件,安装插件后,这些违规操作都会被记录

SCA能够对组件库进行手动/定期扫描;然后对违规的上传/下载操作进行阻断,并生成阻断记录日志

能够定位到违规操作的ip、时间、操作人员等等

往组件库里上传组件,或者从组件库下载组件至本地。这两种操作 都会进过SCA插件扫描,然后对违规的操作直接阻断

1.2 审查项目开发所用的组件,是否在私服仓库引用

主要是为了管控开发,不让他们绕过企业组件库,私自下载

企业所有的开源软件和容器镜象必须从开源治理平台中获取

严禁私自使用尚未引入的开源软件。

SCA是本地部署的,系统配置中已配置了企业内部组件库,那么SCA分析在编译时就是基于这个组件库的。如果开发是私自引入的组件,组件库中没有这个组件,那么SCA扫描结果里,这个私自引入的组件就是不完全识别。因为无法在组件库中匹配到

确认组件不是完全识别,然后判断是否是因为与组件库无法匹配。是,则给组件增加标识,非组件库来源。提示安全人员,该组件非企业内部的组件库


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

揭秘APT37:朝鲜黑客组织的攻击手法及工具
初学代码审计之lmxcms源代码审计
PHP入门到精通-学习之路
CodeQL学习笔记(2)-QL语法(递归)
针对Spring-Boot 框架漏洞的初探
SQL注入原理剖析以及靶场+实战(CTF与SRC进阶版)

发布评论