持续应用安全(CAS)研讨之:SCA

admin 2022年11月17日09:30:20安全闲碎评论9 views2644字阅读8分48秒阅读模式
【编者按】
持续应用安全(CAS)是数世咨询在
软件供应链安全研讨会上首次提出的解决我国软件供应链安全问题的新思路。CAS专注于保障数字化应用的,源代码阶段-构建部署阶段-上线运行阶段,全流程的安全状态。CAS可以通过安全能力高度融合和安全数据关联分析的方式,经由统一调度管理形成体系化的解决方案,以达到帮助用户减少资源投入、整合安全能力和提升安全效率的目的。
持续应用安全(CAS)研讨系列文章的主要目的是,通过CAS核心能力提供者对CAS的研究,从不同的角度解读CAS,共同推进CAS的落地进程。CAS已经得到比瓴科技、酷德啄木鸟、思客云、孝道科技、四维创智、边界无限、云智信安等核心能力提供者的认同,目前已推出两篇文章:

持续应用安全(CAS)研讨之:ASOC
持续应用安全(CAS)研讨之:IAST
后续还会推出SAST、DAST、FUZZING、RASP和移动应用安全检测方向的内容。

持续应用安全(CAS)研讨之:SCA

近两年来,关于应用系统安全的话题和名词层出叠现,推陈出新。各路神仙、大咖轮番登场,用漏洞数据、攻击趋势、产品技术变化等资讯讲述着应用安全的重要性和发展方向,并将这个之前不被网络安全太为关注的小众领域,“应声”推到了信息安全时代的风口浪尖。一时间,各类理念与技术遍地开花,百家争鸣。应用系统安全正在迎接他超高速发展时期的到来。

一、应用系统安全要不要干?

“安全就是攻与防”,可谓魔高尺,道高一丈。当代码、开源组件以及第三方软件成为黑客们主要的攻击手段与途径时。其唯一的解决方案必然是——构建安全的开发体系和供应链管理体系,在软件开发的整个生命周期中的每一个环节来确保安全。

由此可见,诸如DevSecOps、SDL、安全左移、软件供应链安全、AST、RASP、ASOC等理念与技术的提出和兴起,就是顺理成章的事儿了。应用安全很重要,要干!可知易行难,理解这些理念虽然变得容易了,但到企业具体实践时却依旧步履维艰。其中任何一个产品、一项技术、一套体系真实地在企业内部落地与实施时,都需要花费大量的人力、物力和心力。抛开其他不谈,单讲一点:如何在众多的“技术专家”、“专业厂商”以及“明星企业”中选到适合企业的那一款产品,那一套方案?如若没有几周、几个月、甚至几年的场景试用、POC评比,都将无法得出答案。

二、CAS一个现成的答案

CAS持续应用安全平台:一个现成的答案,同行业优选与认可的结果。它融合检测、管理、编排为一体,为用户提供一整套解决方案。它能够持续获得各类AST测试结果、进行关联与分析,最后加以自动化处置和排编。

在这个以效率为王的时代,开源组件虽然为高速迭代的系统开发带来了极大的便利,但同时也将巨大的风险引入其中。为了避免为系统带来安全性问题,做好开源组件的安全检测与管控是必须的。

在CAS中承担这个重任的,就是SCA。 

持续应用安全(CAS)研讨之:SCA找八哥SCA产品

三、SCA如何支撑CAS持续安全

1、以庞大的数据作支撑

一款优秀的SCA产品,必须先是一个包括组件库,漏洞库,代码库“巨量数据”的信息系统。没有这些基础数据作为依托,就无法构建从识别至检索,再到关联分析,最后形成“代码供应链”分析结果的完整流程。

2、以代码指纹为依据

SCA流程中相当重要的一环就是识别与标识开源组件。其目前最优的解决方案正是已如火如荼的SBOM(软件物料清单),它作为目前国际公认的软件供应链治理标准与方法,最重要的功能就是使SCA工具能够清晰、明确地识别开源组件和代码。

3、不停留于表面,依赖穿透

开源组件的构成不单单是开源代码,其内部同样引用了其他开源组件。这使得开源组件安全性同样受到其依赖的第三方开源组件影响,SCA产品需要为用户描绘出开源组件的依赖关系以及流程。

4、以快速响应为宗旨

开源软件安全事件处理作为应急响应的一部分,其生命线在于响应速度。SCA产品需要在不断披露的安全漏洞信息流中,快速获取漏洞信息,并及时发布给用户,才能有效保护用户免受“漏洞暴露前72小时”高发时间的大量攻击。

5、以与工具联动,主动阻断为抓手

DevSecOps相对于SDL重在强调工具化、自动化与敏捷性。安全任务以Golden Pipeline为主线,将一系列的自动化工具进行串联或并联工作。SCA工具作为其中重要的一环,与之集成使用。优秀的SCA工具除了能够与DevSecOps平台,CI/CD工具集成之外,自身也要能够做到与包管理工具和私库进行集成和联动,并实现主动阻断机制,形成开源组件“防火墙“。

四、思客云--找八哥SCA的落地实践

1、以庞大的数据作支撑

产品拥有庞大的数据量,收录了自来Github、Gitee、Maven等国内外的开源组件、开源代码库共6500万个开源组件与代码的版本,作为识别开源组件及组件依赖关系的基础数据库。同时,收录了来自CVE、CNVD、CNNVD、VulnDB等平台,约17+万条安全漏洞信息,作为检测漏洞的安全漏洞库。不仅如此,数据收集平台还以天为频次的更新速率,更使得数据量不断持续增长,漏洞信息得以时时关注。

2、以代码指纹为依据

产品可以生成完整,规范化的SBOM,并以代码指纹的方式来分析开发人员所使用的各种开源源码、模块、框架和库,识别,清点开源软件(OSS)的组件及其构成和依赖关系。快速查询的同时,兼顾了查询质量与数据容量。

3、不停留于表面,依赖穿透

产品扫描结果中包含其依赖开源组件的N次依赖关系图,深度剖析了依赖流程,把引用流程完完全全展示在用户眼中,让用户清晰地了解整个依赖流程的安全性。

4、以快速响应为宗旨

我们深知用户对SCA产品时效性的需求,故在产品架构设计,产品技术要求中就把快速收录,快速检测,快速报告,快速画出漏洞影响范围图作为产品的重要功能来研发。保证用户在开源安全漏洞暴露出来的前8小时内,就可以全面排查企业内的所有应用系统,并同时呈现一幅“漏洞影响范围图“以及一份安全处理建议方案。

5、以与工具联动,主动阻断为抓手

产品除了做到与IDEA、Eclipse、VSCode等IDE工具;Jinkens等CI/CD工具集成外,还做到了与Nexus远程仓库集成,能在项目拉取有漏洞的开源组件版本时进行阻断;并且在私库与外部公库拉取有漏洞的开源组件版本时进行阻断,形成双层主动阻断。

结束语

“应用安全——非持续,不安全”。在如流水般迭代的代码世界中,漏洞挖掘在持续,漏洞防御在持续,那么提高整体代码安全水平的产品与解决方案也必将一直持续。


原文始发于微信公众号(数世咨询):持续应用安全(CAS)研讨之:SCA

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月17日09:30:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  持续应用安全(CAS)研讨之:SCA http://cn-sec.com/archives/1414284.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: