近年来随着开源理念的流行,开源技术由于使用成本相对较低、技术迭代速度快、灵活度高等特点,使得开源技术正以多种形式渗透到金融企业的操作系统、中间件、数据库、存储、网络、云计算等技术领域中,此外越来越多的开源组件也被集成到了金融企业的业务产品当中。
但在基于开源组件实现了技术创新及业务快速交付的同时,金融企业也面临着开源组件所带来的开源漏洞、开源许可证/知识产权合规等风险问题。
因此,金融企业对于管控开源组件的诉求日益迫切。通过本文,我们希望能够为金融行业用户提供关于开源治理的全新视角,帮助用户更好地落地开源治理,提升对于开源组件的管控和安全防范能力。
金融行业开源治理风险与挑战
正如开篇所说,随着用户对于金融产品使用体验的重视性程度不断升高,金融企业开始纷纷依托云计算、大数据等数字化技术来赋能业务发展。但与此同时,开源技术带来的管理、安全、法律上的一系列风险也逐渐显现。
1. 开源领域安全事件频发
近年来开源软件领域的安全事件频发,尤其在金融业务场景之下,开源自身的不确定性也为企业软件供应链安全埋下了隐患,导致自身业务运行安全状况面临着许多不可预知的风险与挑战:
图1 金融业务场景下所面临的开源风险
2. 上层强监管属性及前端业务数据高度敏感的行业特性
由于特殊的行业定位,金融行业的技术架构需要时刻处于绝对安全的空间当中。但由于开源组件自身天然存在的一些风险隐患,加之企业自身缺少对应开源组件的管理机制和治理体系,导致金融企业在应用开源组件的同时,需要抽出大量精力以满足来自监管层面和业务安全层面的双重压力。
SCA技术在开源治理领域优势
SCA(Software Composition Analysis)软件成分分析技术作为金融企业实现安全合规风险管控和安全态势感知必不可少的能力之一,SCA技术可通过检测软件许可证、依赖项以及代码库中的已知漏洞和潜在漏洞来分析开源组件,使金融企业能够有效管理由开源组件所带来的安全风险和许可证合规性问题。
一方面,围绕开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测、二进制检测等核心能力,运行时SCA技术能够实时检测到应用真实运行加载的第三方组件,排除未执行加载冗余的组件,并对应用开发进程当中所引用的第三方开源组件实现有效梳理。
另一方面,将SCA技术与应用组合为成分分析引擎,通过SCA技术可多维度提取开源组件特征,计算组件指纹信息,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,最终并自动化生成规范性机器可读、国际通用标准格式的软件物料清单(SBOM),从而使软件供应链资产透明化,保障软件供应链安全。
此外,相比于传统的SCA检测平台,当前SCA技术也在面临复杂多变的应用环境,因此用户在使用SCA技术的同时,需要关注以下三大方面的能力:
基于运行态的代码级开源软件成分检测能力,SCA技术能否在应用系统实际运行过程中可动态加载第三方组件及依赖的基础上,进行更加深度且精确的威胁分析;
在大数据漏洞情报监测引擎的基础之上,SCA是否可与其建立起成熟的漏洞情报能力,进而可在全球范围内获取开源组件信息以及相关的漏洞情报,从而降低因开源组件安全因为所带来的风险问题,保障数字化应用的安全。
基于漏洞修复优先级技术,开发人员能否通过SCA来精确获知漏洞的详细引入位置,以确定补救工作的优先级并集中精力修复高危漏洞,显著减少漏洞修复时间,降低企业开源治理成本,提升企业软件供应链安全管理效率。
图2 SCA技术应关注的三大重点能力
SCA技术在金融领域的实践
1. 开源软件准入管理:从源头把控安全
首先,企业应打造一套开源软件准入管理机制。由于开源技术架构中难免会应用到大小各异、作用不一的开源组件,使开源管理效率低下且成本较高。
准入管理的本质是来源可控,从发起申请到上传私服仓库,用户需要在整个准入管理流程中实现对开源软件的来源审查、漏洞评估以及合规分析,只有当通过所有节点的评估之后方可引入,从而在源头处控制风险范围。
2. 开源软件资产梳理:资产数据可视化
其次,企业应对已有的开源软件资产进行快速梳理,需要采用用户名密码、Token等多种认证方式,定期对私服仓库、制品仓库进行全盘的安全扫描和风险分析,分析仓库内的组件漏洞及许可证风险,清晰掌握内部现有组件的情况。
3. 开发运营风险管控:安全治理能力内嵌
第三,将SCA能力嵌入至开发流程当中。在开发阶段,即便已经提前引入了开源组件检测来对组件来源进行统一管控,但在功能开发的过程中,为了提升研发效率,不可避免会应用到其它开源产品。因此,企业需要将SCA能力深度融合至自身的研发周期当中,快速集成客户端代码仓库及流水线构建工具,进而确保SCA技术能够在代码同源、组件依赖以及提交代码仓库等多个维度对开源组件进行全方位的检测。
而这其中,又主要分为以下四个阶段。下文将以源鉴SCA的实际应用为例:
图3 源鉴SCA产品集成场景流程
需求阶段:使用源鉴SCA对出库的开源组件进行风险扫描,实现私服仓库组件的出库安全,保证开源组件的可控性和可追溯性;
开发阶段:开发人员一方面利用源码级SCA技术,对应用程序或软件中的组成成分进行同源性分析;另一方面利用多级开源组件依赖特征提取技术,精准提取组件信息,分析开源组件直接及间接依赖信息,结合实时知识库数据,进而分析组件的漏洞及许可证风险信息并生成SBOM组件风险清单;
构建阶段:通过源鉴SCA的二进制代码相似度比较技术来识别构建所得的二进制应用程序中用到的开源成分,针对使用违反安全策略组件的情况,自动阻断项目构建过程;
运维阶段:通过源鉴SCA的运行时技术,基于运行态的代码级开源软件成分分析,精确检测应用系 统实际运行过程中动态加载的开源组件及依赖,并在此基础上实时检测组件中潜藏的各类安全漏洞及开源协议风险,进一步确认漏洞的真实有效性。
此外,源鉴SCA通过实时获取各来源开源威胁情报数据,及时更新、同步自身知识库数据,构建专业精准的漏洞知识库,通过清洗、匹配、关联、分析等方法,自动关联用户软件的开源组件信息,并通过邮件、站内信、微信、Webhook等方式通知相关负责人,帮助用户及时掌握最新的开源组件漏洞情报及风险影响范围。
4. 开源治理制度制定:智能化规范体系流程
最后,依据监管和行业要求,企业需要制定落地性较强的开源软件管理流程、规范、模板等体系文档,使其能够覆盖至开源软件准入、风险评估、漏洞监测和处置、退出等全生命周期安全管理,进一步完善自身开源组件管理体系的设计与执行流程。
源鉴SCA金融开源治理成果
从行业视角来看,对于缺少DevOps经验、希望打造全流程DevSecOps安全管理平台的金融用户来说,SCA技术是金融行业完善自身开源安全治理体系非常核心的切入点。如果对SCA技术应用得当,将能够在安全层面极大降低企业数字化过程中的风险和隐患。
源鉴SCA作为国内SCA技术的引领者,金融企业依托源鉴SCA打造完善开源安全治理体系的实践成果,对于金融行业的开源治理思路来说,具有极强的借鉴作用。
1. 建立开源软件资产台账:基于生成的SBOM软件物料清单,以可视化的方式呈现用户的开源软件资产和漏洞信息,整体提升了开源软件资产、漏洞、许可证的识别能力,大幅度降低了漏洞影响范围的排查时间。
2. 实现开源治理安全与效率的平衡:将源鉴SCA与用户现有开发流程无缝结合,在开发运营的相应阶段自动发现应用程序中的开源组件,提供关键的版本控制和使用信息,并在任意阶段检测到漏洞风险和合规风险时自动触发警报,兼顾了效率与安全。
3. 收敛开源软件漏洞及许可证风险:通过可视化SBOM清单调用关系及组件依赖关联分析,实时监控数千个安全源并在当天通告大多数漏洞及许可证风险,大幅度降低了风险从发现到消除所花费的时间,并通过邮件或者内部办公系统通知开发人员。开发人员只需简单学习,利用平台漏洞代码行定位,无需安全人员介入即可精准修复漏洞,使漏洞修复周期缩短了50%,进而使得用户软件开发项目的漏洞平均风险值下降了35%。
4. 构筑用户开源风险治理体系:用户基于源鉴SCA的开源治理能力,逐步建立公司级平台,可对各类型采购、自研、软件资产进行梳理和安全审查。进一步在内部建立开源治理组织架构,制定配套的开源治理管理制度和规范,逐步构筑起比较完备的开源风险治理体系,规范开源软件的引入、使用、治理、退出等全生命周期流程,做到全流程安全可控,进而提升了软件供应链安全治理能力。
5. 信创兼容,满足金融行业监管要求:金融作为涉及国内经济的关键行业,面临与其他行业相比更为严苛的监管要求。源鉴SCA可帮助用户在遵循开源义务要求的前提下规范地使用开源技术,从而最大化减少使用开源技术带来的风险,满足了金融行业相关开源政策法规的要求。源鉴SCA完全自主研发,安全可控,满足国内行业监管法规要求,兼容国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD),支持各种合规性检测场景,并已经完成在国产中间件、服务器、操作系统等信创领域的兼容性互认证,在信创领域完全符合国家监管要求。
紧跟战略
打造金融开源安全治理示范平台
当前,随着关于开源的相关政策不断推出,开源俨然已经成为国家发展战略层面的重要一环。企业自身的开源安全也牵动着用户、行业、社会的安全,对于金融企业而言尤为如此。
金融行业作为国民经济的支柱型产业以及信息技术较为发达的领域,更应当紧紧跟随国家战略,积极参与开源生态建设,加速开源安全治理体系的建立。而金融行业其开源安全治理层面的成功实践,无疑将会带动更多行业以及大批企业发起开源安全治理庞大运动。
相信在未来,开源一定会在社会数字经济发展、国家信息安全保障层面发挥着愈发重要的作用。接下来悬镜安全也将继续紧跟国家步伐,帮助企业以更加安全、合规的方式使用开源技术,一步步助力金融用户打造出行业标杆型开源组件风险治理平台,为企业在数字化转型进程中提供更加完善、体系化的开源组件安全防护能力,在金融乃至更多行业中形成良好的示范效应,持续守护中国数字供应链安全。
扫一扫
1355
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
