大数跨境
首页
>
大咖分享—基于SBOM的开源风险管理实践
>
0
0

大咖分享—基于SBOM的开源风险管理实践

大咖分享—基于SBOM的开源风险管理实践 安势信息
2023-07-07
1
导读:SBOM的应用已经逐渐走进大家的视野,本文将就SBOM在开源风险方面的应用为您带来解读。
本文内容基于6月3日OpenChain开源治理论坛的嘉宾朱贤曼老师的分享,虽然已经过去1月有余,但我相信本篇干货也能够为您就SBOM的应用带来新的理解及感受。

基于SBOM的开源风险管理实践


1

开源安全面临的挑战及洞察


开源软件无处不在、供应链安全事件呈增长趋势、国内外许可证违规案例层出不穷、后期发现,修复以及整改成本高等现状,让开源安全面临前所未有的挑战。

所有开源合规的治理风险都是因为使用了开源软件而SBOM作为开源风险管理的基石,在提高软件供应链透明度、高效快速地进行供应链风险管理、方便跨组织共享和交换数据统一输出格式,方便建立生态等方面发挥巨大的作用

2

基于SBOM的开源管理实践


SBOM梳理是非常具有挑战的,从软件的组成来看:纯自研代码、开源组件、第三方专有软件。同时引入的方式也是多样的:可能是以源码的方式(整包进行编译、文件、代码片段),可能是依赖的方式(包管理器、源码中引入、编译依赖、运行时依赖、测试依赖等)。如果纯人工的方式去实现几乎是不现实的,所以需要借助专业的SCA工具帮助我们梳理清单后再谈合规和安全风险
既然要管控风险,基于SBOM做治理,我们就要建立一个准入机制,让可靠合适的组件进入到SBOM,实现安全左移。对开源组件和第三方专有软件建立准入机制,所有进入到公司内部的软件都在库中,如果要使用的话无法从外部拉取。

对于第三方会采用一些商用的合同条款进行兜底,但是有条件的话建议还是进行扫描或者提供一些测试报告。入库准入之后,我们建议做一个使用申请,因为很多许可证是与它的使用场景相关,例如LGPL,如果是静态链接使用,风险可能就会相对高一些,如果是动态链接使用,风险相对会低一些。虽然入库,但真正使用的时候,也要做主动的申请,建立一个组件和版本之间的关系

在整个研发流程中,开源软件的合规与整个软件开发生命周期是强相关的,既要有引入的机制也要有退出机制。
软件开发生命周期大致分成规划、设计、开发、验证、发布、运维
1. 设计阶段
需要做风险评估(是否要用开源软件、是否要引进、引进哪些开源软件等)选型和入库(如果库里有可以直接提申请使用,如果库里没有就需要提审核流程引入进来)、引入进来后需要提使用申请,BIS备案

2. 开发阶段
SCA工具扫描、安全/合规治理、notice集成、使用申请更新、SBOM生成

3. 验证阶段
开源合规测试、更新notice、准出校验、SBOM更新

4. 发布阶段
对前面的内容做一遍检查,对checklist中的每一项进行打勾,做好开源的分发、应急响应计划、SOBM转换/集成、SBOM存档

5. 运维阶段
后续也要持续跟踪安全漏洞、持续关注许可证(许可证的变更可能与软件的策略会发生很大的变化,虽然可能目前用的版本没有风险,但有些许可证的变更与它自身的意图有关,后续如果要升级,可能要考虑这个风险)、整个组件生命周期管理、SBOM维护。

同时也涉及到相关的IT工具及流程来保障整套体系能够高效的运作。

3

SBOM之外的解决方案


当然,软件供应链安全只有SBOM是远远不够的。SBOM作为一个清单,进入到软件供应链,从生产的角度也是有很多环节,包括从企业各个组织之间流转的角度来说,一个软件在各个企业间流转,每一个环节都可能存在风险。例如,我们关注在软件生产环节,在代码的托管平台这些地方,在Bill构建、打包发布、拉取依赖的时候,都有可能受到供应链上的各种攻击,例如混淆攻击、木马植入、投毒等,所以,光有SBOM是远远不够的。

所以,我们可以从各个环节参考SLSA(Google和OpenSSF提供的这套建议框架),之前的版本是分四个等级,现在分三个等级,每个等级建议做到什么程度,达到一个什么成熟度。

1、其中最重要的一点就是保证构建的完整性,保证构建脚本都代码化,有版本的管理、可追溯,构建的环境最好是独立的。

2、源代码完整性:确保所有代码提交都体现软件生产者的意图。对代码进行所有人的审核, 因为不管是外部投毒也好还是内部开发者投毒也好都有可能发生;最基本的版本控制;永久保留源和修订记录。

3、可用性: 确保将来可以继续构建和维护包,并且所有代码和更改历史记录都可用于调查和事件响应。例如可以通过:格式、数字签名(真实性/完整性)、由构建服务生成或直接来自于构建服务,不能伪造、包含所有构建依赖项等方式确保可用性。

以上便是《基于SBOM的开源风险管理实践》的全部内容!希望能够帮助到您!

关于安势信息


上海安势信息技术有限公司成立于2021年,致力于解决软件供应链中的安全和合规问题。作为中国领先的软件供应链安全治理工具提供商,安势信息以SCA(软件成分分析)产品作为切入点,围绕DevSecOps流程,着力于从工具到流程再到组织,坚持持续创新,打造独具特色的端到端开源治理最佳实践。


欢迎访问安势信息官www.sectrend.com.cn或发送邮件至 info@sectrend.com.cn垂询。

点击蓝字 关注我们

【声明】内容源于网络
0
0
安势信息
安势信息是国内先进的软件供应链安全治理解决方案提供商,提供包括清源SCA(软件成分分析)、清本SAST(静态代码扫描)、清正CleanBinary (二进制代码扫描)、安全服务等解决方案,提供各行业的软件供应链安全治理最佳实践。
内容 170
粉丝 0
安势信息 安势信息是国内先进的软件供应链安全治理解决方案提供商,提供包括清源SCA(软件成分分析)、清本SAST(静态代码扫描)、清正CleanBinary (二进制代码扫描)、安全服务等解决方案,提供各行业的软件供应链安全治理最佳实践。
总阅读310
粉丝0
内容170