摘 要:当前各行业逐步进入数字化转型发展时期,数字经济规模越来越大,软件作为数字经济发展非常重要的基础设施,其技术和开发模式持续迭代更新。为提升软件开发效率和降低软件开发成本,开源软件得到广泛使用,但同时开源软件使用带来的安全问题也越来越突出,因开源软件安全问题发生的安全事件频频发生,如何有效开展开源软件安全管理工作已成为共同焦点。本文简要分析当前开源软件安全管理现状及痛点,简述兴业证券开源软件安全管理思路和相关具体应用实践,提升开源软件安全管理水平。
开源软件是以源代码、文档等内容开放的模式来开发的软件,主要体现在软件开发的协同、软件成果的共享和软件功能的创新上。开源软件的使用无处不在,已经成为数字经济快速发展的重要力量,覆盖到操作系统、中间件、数据库、工具系统、SDK、组件、框架等不同系统。Gartner的调查显示,99%的组织在其信息系统中使用了开源软件;据信通院2022年全球开源生态研究报告统计,截至 2021 年 GitHub 托管仓库数量已达 2.61 亿,2021 年新增仓库组件6100 万个,增长率达 30.5%;2022年在物联网、网络安全、能源和清洁技术、计算机硬件和半导体行业的代码库中或多或少均使用了开源代码。
开源软件安全形势十分严峻,根据CNCERT开源软件供应链安全风险研究报告,近6年开源组件仓库的漏洞数均大幅上涨;攻击者已把目光放在了开源软件上,利用开源代码漏洞,实现对软件供应链上游的攻击,达到规模化影响,如log4j漏洞影响了数百万个基于java的应用程序。
开源软件安全管理要达到预期效果面临较大挑战和痛点:
复杂度高:开源软件遍布各个系统中,且不同系统使用开源软件的种类、版本大概率不一样,极大增加了开源软件资产管理复杂度,开源软件资产不清晰,开源软件安全管理难于达到预期。
依赖性强:开源软件安全风险发现很多情况下依赖外部情报,安全风险整改依赖上游社区的更新升级,更新升级后系统的稳定性依赖开源软件更新后的可用性和兼容性,开源软件更新升级若不经过充分测试可能造成业务系统运行异常。
冲突性大:主要体现三个不一致,一是安全人员与研发人员价值目标不一致,安全人员希望要用安全可靠的开源软件,而研发人员希望快速找到一个能用、满足功能需求的开源软件;二是开源软件版本不一致,一种开源软件不同系统需使用的版本可能不一样,导致版本统一管理难;三是开源软件安全评估和准入流程不一致,研发和安全各一套。
为了更好解决开源软件安全管理痛点问题,提升开源软件安全管理能力,需先形成开源软件安全管理整体思路,依据整体思路开展具体工作。兴业证券整体思路如图1所示,明确了开源软件安全管理目标,即:开源软件资产管理清晰、安全管理标准统一、安全风险检测实时、安全风险响应及时;在目标确定后,基于开源软件准入、使用和退出三个阶段,建立开源软件安全管理机制和流程,并在各阶段持续性进行安全评估。在准入阶段引入安全评估的门槛和管理机制,在使用行阶段定期开展漏洞检测、开源协议合规评估,能够实时监测到网络安全攻击行为,在退出阶段把不必要的开源软件进行淘汰,以免再次被系统使用引入安全风险。
开源软件准入方面,自研系统和商采系统准入控制要求不一样。
建立开源软件制品库,统一开源软件来源,原则上制品库是各系统使用开源软件的唯一来源,限制各研发团队随意从互联网下载开源软件。若制品库中没有,研发团队提需求评估后方可进入制品库,另外对制品库中开源软件定期开展安全评估,及时修复制品库中开源软件安全风险。制定安全准入要求,设立门槛,高风险版本及不满足公司安全需求的开源软件不入库,且上线前安全检测中发现高风险的开源软件,需要重新评估是否将其从制品库中删除。持续对开发、测试人员开展安全意识培训,在开源软件准入要求上统一思想和达成一致。将开源软件准入规则标准化,建立标准化准入流程,并通过公司流程系统有效落地。
加强供应商安全管理,形成供应商清单,对供应商安全资质和安全服务能力进行评估,在采购中要求供应商落实安全要求,如要求供应商在软件开发过程中落实公司安全开发规范,在软件交付时要求供应商提供安全评估报告、SBOM清单等。
开源软件上线运行使用后,需开展常态化安全风险检测、预警及响应。定期开展主动安全风险检测,建立多层次的安全检测体系,多层次体现在多种实施频率,多种检测工具,多种检测方式;建立实时监测预警安全系统,当发生安全攻击或漏洞利用攻击行为时,能够实时监测到并发出安全预警;及时响应处置安全风险,对内部主动检出的漏洞能够及时完成整改,对监测到攻击行为能够快速阻断,对外部获取的威胁情报能第一时间排查并定位资产,在过程中供应商的应急响应能力非常重要,商采系统安全风险的整改修复依托于供应商来完成。
随着系统不断升级更新,不符合公司安全要求的开源软件需要从制品库中退出,需要退出的开源软件主要有三类:
多次出现重大安全漏洞的开源软件,如Struts2多次被报高危漏洞的开源软件,需限制新系统再使用,且从制品库中逐步退出,已使用的系统需进行逐步替换。
不再维护的开源软件,不再维护的开源软件已不提供更新修复补丁,若存在安全漏洞,系统运行的风险非常大,严重影响了系统运行稳定性。
使用频率很低的开源软件,为了降低管理成本,提升开源软件管理标准化水平,将有限安全资源解决主要矛盾,提高安全管理成效,制品库中维护开发常用的开源软件,将使用频率低的开源软件逐步被使用频率高的开源软件替代。
兴业证券的开源软件安全管理能力建设正在持续推进中,当前主要基于软件开发生命周期来开展,如图2所示从软件的开发、交付和运行几个阶段来落实相应的安全控制措施。在项目立项、供应商准入时评估供应商安全服务能力,业务需求分析同时开展安全需求分析,软件开发过程中实施源代码审计、SCA和IDE编码环境实时安全检测,测试/交付环节开展IAST、上线前安全测试,运行后实施常态化安全漏洞检测和风险监控。为了更有效的落地各安全控制措施,兴业证券安全团队牵头技术管理、研发、测试和运维团队相关人员组成了虚拟组织协同推进开源软件安全管理工作。
自研系统开发环境位于公司内部网络,可灵活自主在开发流程中设置安全检测点对开源软件开展安全管控工作。如图3所示,在开源软件制品库管理方面,通过网络策略限制研发IDE仅可从公司内部制品库中获取开源组件,不可直接访问互联网仓库,由公司内部制品库统一升级更新,为避免因次生依赖给研发带来过大的编译压力,内部制品库在组件网关上仅拦截少量利用门槛极低的高风险组件。在开源软件安全检测方面,一是立项时在项目组宣贯上线组件要求并提供IDE客户端安全插件的使用手册,要求项目组在编码IDE环境中对引入的第三方组件进行自检;二是在上线前设置安全红线,通过IAST、SCA等工具对引入的开源组件进行安全检测并同时采集系统引入组件的SBOM信息,便于开源组件上线运行后资产管理,当发现高风险漏洞时可及时定位相关开源组件。
外购成熟系统的开发由供应商完成,厂商交付的系统在开发语言、系统格式及大小方面都存在较大的不可控性。如图4所示,对于常规的java字节码war/jar交付包,通过上传交付包本地检测或访问制品库地址远程检测方式完成字节码安全风险检测;对于较大容器镜像文件,向项目组提供二进制扫描命令行工具,在服务器上采集扫描所需的dockerfile等配置文件,再上传至安全检测引擎服务端进行安全扫描。
开源软件是现在软件开发必备技术能力,但其带来的安全问题日趋严峻,开源软件安全管控迫在眉睫,需根据公司自身实际需求制定开源软件安全管控整体解决方案,统一安全管理标准和流程,从开源软件引入、使用和退出全生命周期落地安全控制措施,并持续开展风险评估。
开源软件安全管理是一项长期持续性工作,不同行业安全管控方式不一样,以商采为主传统行业优先要加强供应商管理;开源软件安全管理也是供应链安全治理重要部分,要上下游/供需方整个链条协同落实,同时在治理过程中需要将安全措施嵌入到业务、研发、运维流程中,形成大家认可一致的统一流程;行业级的开源软件威胁情报分享和平台化管理将是开源软件安全管理上升到更高层面的重要手段。
吴佳伟&钟蓉&李鹏&曹杰,从事信息安全行业十年,做过渗透测试、打过CTF、搞过安全研发、规划过安全体系,也写过行业课题和标准,从乙方的安全服务到甲方的安全建设,虽然角色变了,但期待进步的心没变。
证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案,为大家分享一线安全规划、运营、建设的心得和实践经验。
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
原文始发于微信公众号(安全村SecUN):开源软件安全管理思路探索与实践|证券行业专刊2·安全村
评论