覃陽青-數字化轉型下的軟件供應鏈安全及 DevSecOps 實踐.pdf

《覃陽青-數字化轉型下的軟件供應鏈安全及 DevSecOps 實踐.pdf》由會員分享，可在線閱讀，更多相關《覃陽青-數字化轉型下的軟件供應鏈安全及 DevSecOps 實踐.pdf（33頁珍藏版）》請在三個皮匠報告上搜索。

1、數字化轉型下的軟件供應鏈安全及DevSecOps實踐覃陽青 開發安全負責人多年專注于金融行業的開發安全實踐，現在安信證券負責軟件安全開發方案規劃與落地和軟件供應鏈&開源軟件治理的探索，對金融行業的軟件安全開發方面具有獨到的見解?，F狀與痛點軟件開發安全軟件供應鏈治理開源軟件治理廠商直供成熟產品、定制化開發一體機、軟件成品、源代碼合作開發人員駐場開發、各自負責開發部分開發商的開發過程管理、內部的開發流程管理內部自研瀑布模型、敏捷開發建設模式系統保障級別高監管背景管理對象復雜數據價值高系統實時性、可用性、穩定性和業務連續性要求極高、可用性事件零容忍、5分鐘紅線數字化轉型與監管或關聯部門系統對接監管政

2、策變化信息系統來自不同的廠商，系統環境多樣、技術棧豐富、技術債不可知開發模式多樣用戶數據量龐大數據體現經濟價值高，泄露造成的影響面廣數字化特點開源組件占60%+據不完全統計，通常一個應用的第三方組件占應用的60%80%左右業務代碼38%構建腳本0.5%配置文件1%其他0.5%客戶自己的業務代碼約占整個項目的38%程序運行時相對應的配置文件約占1%項目構建、打包等腳本程序其他附加的程序資源開源組件業務代碼配置文件構建監本其他u 基本所有軟件都使用開源組件，且在系統代碼中占比高u 開源軟件種類多、版本多u 開源軟件資產信息不清晰復雜性依賴性沖突性010203u 開源軟件安全風險獲取不及時u 安全漏

3、洞整改依賴上游更新升級u 升級變更后的穩定性不保障u 安全和研發價值目標不一致u 系統使用的開源版本難一致u 評估和準入流程不一致04風險性u 近年安全漏洞頻發u 特殊場景使用造成的功能穩定性問題u 斷供/停更風險缺乏安全規范和組織未制定和發布安全管理規范未組建安全管理職能團隊和專業的安全技術人員未按要求實施安全開發標準沒有安全檢測工具和環境為趕進度不執行安全開發要求安全交付應付式未按要求提供安全交付材料安全交付材料質量差交付后的安全支撐不足沒有主動監測產品的安全風險出現安全風險未及時pilu發現安全風險不及時響應處置軟件供應商01020304監管規范等保2.0信創改造軟件開發安全自研+合作開

4、發外購軟件安全治理外購軟件+軟件供應商開源軟件治理開源組件+開源代碼+開源系統+開源工具等管理體系治理流程文化建設流水線（DevSecOps）非流水線（SDL）外購（軟件供應鏈治理）技術培訓流程培訓制度宣貫IDESASTSCAIASTDASTMAST基線加固基線掃描容器安全APP加固主機漏掃數字簽名安全漏洞庫安全知識庫開源組件庫安全組件庫掃描與加固工具支撐工具度量/評價體系安全需求安全設計安全編碼安全驗證安全發布 項目需求評審 版本需求評審 架構安全設計 功能安全設計 代碼安全檢查 組件安全檢查 IDE自查 代碼安全門禁 組件安全門禁 安全設計門禁 安全需求測試 灰盒測試 滲透測試 應用安全門

5、禁 基線檢查 系統漏掃 上線/發布審批DevOps&SDL需求管理平臺漏洞管理平臺度量平臺支持平臺開發安全管理平臺中層技術與流程規范中層技術與流程規范中層技術與流程規范中層技術與流程規范中層技術與流程規范研發上線測試運維下線組織級項目級管理規范信息安全管理辦法數據安全管理辦法軟件研發管理辦法技術規范信息安全技術規范客戶數據安全管理規范數據分類分級規范安全配置基線安全需求管理規范安全設計規范安全編碼規范代碼質量規約安全日志管理規范安全測試指南移動應用安全測試系統上線流程規范安全工具操作規范安全巡檢規范安全監控規范系統下線流程規范組織保障(第三方)人員安全管理細則安全培訓管理細則技術風險評估管理細

6、則供應商安全管理辦法 01 02 03 04應用安全外部形式安全事件影響安全漏洞產生原因安全開發流程安全活動及要求安全卡點設置安全規范制度介紹安全質量紅線安全設計安全編碼安全測試開源軟件安全使用安全工具使用指引定期+不定期各項安全考試安全比賽安全社區安全意識培訓流程規范培訓安全技術培訓安全考試與活動拉取制品APP安全掃描APP安全加固APP簽名安全檢測UI測試應用安全門禁部署API自動化UI自動化安全驗收測試需求申請單元測試代碼掃描打包制品上傳部署編譯構建代碼安全掃描組件安全掃描IDE代碼安全掃描組件入庫檢測安全需求評估架構安全評審詳細設計威脅建模安全編碼指南編碼開發環境搭建項目規劃架構設計A

7、PI自動化UI自動化應用安全掃描單元測試代碼掃描打包制品上傳部署代碼安全門禁組件安全門禁編譯構建安全需求測試例外管理安全審批上線評審編碼DEVSITUAT自動化掃描/加固工具安全庫/清單支持平臺IDESASTSCAIASTDASTMAST基線加固基線掃描容器安全APP加固主機漏掃數字簽名安全合規庫安全需求庫安全威脅庫安全漏洞庫安全測試用例庫安全知識庫開源組件庫安全代碼/組件庫安全需求管理平臺安全漏洞管理平臺安全度量平臺安全需求外部合規：如國家法律、行業規范內部規范：如公司管理辦法、安全規范、實施指引特定風險：如特定業務場景風險風險發現數量、風險處置率、相同問題復發數、例外上線數、代碼風險密度.

8、（基于單個項目、總體）基于風險度量風險檢出率、檢測誤報率、工具故障數、支持檢測系統類型數.基于工具有效性度量各環節活動執行覆蓋率、工具的使用數、工具使用率.推廣情況度量總體風險變化趨勢、缺陷識別左移率、缺陷左移修復率、自動化檢測效率.方案效果度量DevSecOps成熟度模型軟件安全保障成熟度模型供應鏈引入環節軟件生產環節軟件應用環節制度流程規范主要管控對象重要軟件供應商外購軟件供應鏈風險評分優質供應商推薦供應商風險監控安全管理能力安全交付能力安全應急能力項目安全需求安全交付標準評分參考安全需求納入安全服務協議安全需求驗收單SBOM代碼安全報告應用安全報告軟件成分分析滲透測試供應商審查項目安全要

9、求采購管理安全要求審查安全交付復核審查符合性安全交付符合性應急響應情況外部漏洞情況安全開發情況供應商安全評價軟件安全質量預估遺留風險等級開發安全活動安全交付質量SBOM(SAST)IASTSCADAST外購軟件交付流水線拉取制品APP安全掃描APP安全加固APP簽名安全檢測UI測試應用安全門禁部署API自動化UI自動化安全驗收測試需求申請安全需求評估架構安全評審項目規劃架構設計例外管理安全審批上線評審UAT安全運營安全管理規范能力安全開發管控方案安全組織建設狀況企業資質財務實力項目經歷安全交付能力技術儲備.產品安全能力先查軟件交付符合性評價模型l 安全需求是否被供應商進行需求管理和測試l 安全

10、交付材料是否提供l 安全交付材料生成方式及使用的工具專業度l 安全交付情況與實際驗證遺留問題數量l.選型審查交付審查安全管理能力符合情況、安全開發能力符合情況、安全組織能力符合情況.123是否提交安全檢查報告、安全檢查報告生成方式、安全檢查結果與內部檢查風險差距.運營評價安全應急響應及時性、安全風險主動披露情況、安全風險數量、安全風險修復時長.保障目標安全性合規性健康性開源引入開源使用000選型推薦使用評審入庫管理資產掃描資產維護風險卡點風險監控資產管理風險度量SCASBOM代碼庫流水線制品庫開源庫開源軟件治理平臺資產管理風險庫管理掃描檢測風險度量CMDB開源維護開源軟件入庫流程開源系統項目流

11、程流水線檢測流程應急響應流程開源資產保鮮流程上線檢測管控流程開源治理管控流程基礎服務應用系統基礎設施組件依賴SpringDubboLog4jfastjsonMybitas.開源代碼中間件數據庫基礎平臺k8sdockerOpenStack.基礎設施KvmVmware操作系統MysqlMongoDBESkafkaTomcat.Redis.其他開源系統運維工具開發工具開源軟件健康性開源軟件許可可用性評估可靠性易用性成熟度兼容性服務能力評估更新頻率維護團隊/人數無開源協議商用代碼協議AGPL協議GPL協議Apache2.0協議MIT、BSD協議生產系統（不對外）xxxxxxxxxxxxxxxxxx生產

12、系統（面向客戶）xxxxxxxxxxxxxxxxxx移動APPxxxxxxxxxxxxxxxxxx辦公系統xxxxxxxxxxxxxxxxxx定向授權的軟件xxxxxxxxxxxxxxxxxx基礎應用數據庫MQredis平臺管理服務資產管理風險管理策略維護風險庫前置交互服務風險分析合規分析風險跟蹤風險度量控制臺集成對接（cmdb、DevOps.）服務路由開源軟件治理小組合規專家開發團隊運維團隊技術專家安全專家架構團隊開源軟件治理涉及資產管理、技術評估、流程管控及合規審查等，涉及知識面和技術面廣，需各團隊共同協作支持。n 開源軟件治理需多方支持共同評估和治理Thanks開放運維聯盟高效運維社區DevOps 時代榮譽出品