0x1本周话题TOP2
话题1:各位大佬,想咨询一下软件组成分析、开源治理这块儿工作,安全参与和介入的工作都有哪些,通常牵头部门是哪些团队?
A1:检索SCA应该有不少文章的,检索软件供应链安全解决方案会不会更全面些。
A2:不管检索什么,只要开始去做了,就会有收获,如果只是等着投食,目标大概率达不成的。
A3:仅作参考。近一年多,在开源软件治理方面做了一些实践和思考。恰好最近要做汇报,梳理了一些典型的问题、提炼的治理原则和不错的专项,“4+4+3”模式:
一、面临问题
1、安全漏洞
2、许可证
3、恶意代码
4、技术选型和管理成本等
我们安全是牵头,把所有开源软件相关部门都抓在一起弄,开源软件管理职责都放在相关部门头上,安全仅是其中一个属性。
A4:想再确认一下,这个是指安全来做整体规划和分工,各部门认领后遵循相关要求执行,安全团队做检查是吧。
A5:也可以是研发部门牵头,安全和法务都是支持部门。
A6:如果治理的主要是开源软件漏洞的话,主要还是安全和运维合作,在CI/CD流程中嵌入SCA扫描,也可以对一些指定的组件在maven等私服中直接不提供。
A7:产品的输出如果严格按照合规来看,首先是法律问题,直接砍掉了有版权问题的开源软件。至于自身使用及没有严格执行法律合规的产品,黑鸭子扫描的意义我感觉就是安全运营了。
A8:我的提问也是源于对开源治理的安全动机不太明确。如果是开源软件版本安全漏洞,有其他成熟方案能替代;如果是许可证合规,这个更多的是开发在做技术选型时需要操心的事情;如果是借助开源治理的名头,最终落地只是SBOM台账,未免有点雷大雨点小。
A9:我们的安全,运维,开发都是一个Vp再管,所以大家讨论的以上问题,也都在解决。安全的角色是牵头,串联起其他团队组成工作组;是输出安全能力,设计检测方案、支持漏洞分析、建立安全标准等运营。
话题2:请教一个问题啊,在已经有RBAC的前提下,实施基于安全标记的访问控制,有什么可行的方案吗?根本是我没理解为什么要用安全标记技术,哪里比RBAC更安全?
A1:安全标记技术,是访问控制列表acl?或安全断言标记语言saml?
安全断言标记语言 (Security Assertion Markup Language, SAML) 是一种开放联合标准,允许身份提供商 (IdP) 对用户进行身份验证并将身份验证令牌传递给其他服务提供商 (SP)。SAML 让 SP 无需自行执行身份验证即可运行,并通过传递身份来整合内部和外部用户。它允许通过网络(通常是应用或服务)与 SP 共享安全凭证。SAML 能够在公有云、其他支持 SAML 的系统以及选定数量的位于本地或不同云中的其他身份管理系统之间实现安全的跨域通信。
https://www.oracle.com/cn/security/cloud-security/what-is-saml/
A2:如果是SAML,那我认为不需要做任何改造,就实现了安全标记了?毕竟我也是先鉴别声明者的身份。所以“基于安全标记技术的访问控制”的定义是啥?有没有一个标准或共识的?
A3:这应该说的是强制访问控制(MAC)吧?适用范围非常有限,如保密、军事相关。在IT和互联网领域,基本没见过需要使用MAC的场景。
A4:安全标签一般指强身份认证场景下资源标签,强身份认证除了对主体身份认证外,对资源也有强制标签控制,类似于双向身份认证,rbac(Role-Based Access Control:基于角色的访问控制)作为身份认证模型强调的是角色和主体一对多关系的实现方案,saml是一种身份认证协议,支持多种访问控制模型,个人理解供参考。
A5:其实等保里也有,基于某种原因,需要评估方案,保密他们的是怎么实现呀?
A6:可行的方案这个,更多是在企业找小范围的应用和基础架构能落地的方案吧。之所以安全,是因为他就是ABAC,比RBAC多了一个属性支持,原来是对点的信任,改成了对链的信任。你说安全不安全。之所以难落地,在于你的属性打在7层中的哪一层呢。
A7:rbac检验用户的身份和角色,也检验资源的权限,如果需要,改成基于用户的访问控制也很简单。一事一议ABAC,每个人都设置单独的权限,如果这样就满足强制访问控制的话,管理费事但是技术简单,能做。这个示例看着更像快递数据,还合并包裹呢。
g) 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。 等保要求
然后我的方案就是ABAC,算满足不?或者说保密他们的MAC是怎么做呀?
A8:MAC没有实际用过,简单的说,是一种等级森严的访问机制,规则是“不上读,不下写”,信息只能从低安全级向高安全级流动。可以搜“BLP模型”等关键词。
A9:https://blog.csdn.net/xingyunguanjia/article/details/125182712
依据《信息安全技术网络安全等级保护基本要求》(GB/T 22239—2019),第三级以上的等级保护对象应实现基于安全标记的访问控制机制(LBAC)
【等保小知识】什么是基于安全标记的访问控制机制?有什么特性?
A10:看起来不是ABAC,我理解错了,这就是MAC。
A11:ABAC可以增加更多安全维度吧,支持访问控制做得更细粒度。每一种标签属性都可以细化成具体的访问控制策略。例如在零信任里,如要落地基于多维度安全状态的动态访问控制,ABAC就是很好的选择。
0x2 本周精粹
0x3 群友分享
【安全资讯】
4亿twitter用户数据泄露
【行业思考】
-------------------------------------------------------------------------------
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群周报:
关于蔚来数据泄露的思考,以及SAST白盒扫描做业务上线卡点的探讨,针对内部https流量问题的解决方法等...| 总第178周
关于数据流通交易的真实业务场景讨论,如何理解网安法、数安法、个保法间关系?开发人员git代码行为的安全风险杂谈 | 总第177周
漏洞修复&安全左移探讨:如何解决互联网系统上线不能有高危漏洞的问题?安全与测试、研发合作有哪些矛盾?如何解决?| 总第176周
如何进群?
如何下载群周报完整版?
请见下图:
原文始发于微信公众号(君哥的体历):关于软件组成分析、开源软件治理部分,安全参与和介入工作以及牵头部门的讨论、什么是基于安全标记的访问控制... | 总第179周
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论