《信創軟件安全質量管理探討》_楊廷鋒.pdf

《《信創軟件安全質量管理探討》_楊廷鋒.pdf》由會員分享，可在線閱讀，更多相關《《信創軟件安全質量管理探討》_楊廷鋒.pdf（17頁珍藏版）》請在三個皮匠報告上搜索。

1、信創軟件安全質量管理探討楊廷鋒Yang Tingfeng安恒車聯網副總01.前言安全質量管理其實是一個比較大的概念，涉及組織、人員、技術工具、包括其他配套的資源作為探討，聚焦到三個方面n 軟件產品自身安全質量n 軟件產品管理維護n 軟件產品文檔永恒之藍漏洞Spring 命令執行漏洞Weblogic反序列化漏洞Windows 沖擊波病毒Log4j2反序列化漏洞heartbleed漏洞（心臟滴血）ShellshockCONTENTS目 錄01.軟件產品自身安全質量02.軟件產品管理維護03.軟件產品文檔2 0 2 3 W E S T L A K ED I G I TA L S E C U R I

2、T YC O N F E R E N C E01軟件產品自身安全質量充分識別可能存在的安全漏洞，構建安全質量的基線，建立安全質量持續改進機制01.軟件產品自身安全質量軟件產品的安全質量什么樣情況是算達標的？生產工藝提升良品率通過檢測手段排除不良品結合軟件定位之上，符合用戶、監管、企業對安全的需求？零缺陷管理理論：預防產生質量，檢驗不能產生質量PDCA循環管理：按計劃、執行、檢查、處理四個階段循環不止地進行全面質量管理工業產品研發領域生產線良品率自動化工具化提升效率軟件產品研發領域提升產出，降低原材料的損耗浪費疑問：疑問：提升效率，降低因安全問題導致的返工01.軟件產品自身安全質量l 安全質量標

3、準：應當是具體的、可操作的標準數據安全要求行業標準/監管要求數據處理規范安全最佳實踐標準10+項業界的合規標準、可擴展的安全需求知識庫基于業務場景的輕量級威脅建模方法安全測試用例下沉到某個具體業務功能或者接口，提供與安全需求對應的安全開發SDK研發團隊更容易拆分研發任務、實施和檢測安全需求，提高閉環率。l 安全質量標準：與安全質量標準的差距分析，設計具體的安全預防措施，以達到質量標準l 安全質量標準：質量標準不依賴于人員，但是離不開人員的能力安恒威脅建模子平臺疑問：安全需求？安全質量標準？安全質量標準應當是安全需求在具體軟件提供的服務上投影，并細化具體化l 以安全需求+威脅建模構建安全質量標準

4、l 以安全質量標準推動研發、測試工作01.軟件產品自身安全質量安全質量檢測：質量檢測作為排除不良品的方法，同樣需要具備具體的、可操作的特點。同時將檢測作為生產的工序（提前剔除廢品的思路）確定邊界和范圍對比項SASTSCADASTIAST對象源代碼/制品包組件/制品包Web應用Web應用部署使用簡單簡單簡單復雜誤報率高中低極低覆蓋度高高低中開發語言關聯關聯無關聯CI集成支持支持不支持不支持安恒安全檢測任務模塊SCASASTIASTDASTAPP檢測Web漏掃主機漏掃操作指南自動化一鍵發起多類型的安全檢測任務，導出統一報告01.軟件產品自身安全質量01020304疑問：如何持續提升安全質量？數據整

5、合分析歸因分析措施構建問題發現改進措施問題分析優化安全質量標準內容圍繞質量標準提升自動化降低使用門檻，學習門檻引入檢測性工具指導性工具/文檔需求庫、測試庫等內容更新元數據基礎指標關聯聚合決策分析01.軟件產品自身安全質量運營指標內部指標外部指標各類工具覆蓋度檢測準確度/誤報率檢測規則覆蓋率安全運營質量各類漏洞修復率中高危風險數據安全事件處置時效安全積分排名合規事項數據排名事件處置時效萬行代碼漏洞率運營周報安全月報研發部門例會CIO安全例會安全部門例會02軟件產品管理維護規范軟件產品更新發布機制、建立風險響應機制，加速上下游的風險信息傳遞02.軟件產品管理維護而信創軟件大多數面向企業提供服務，需

6、要在產品維護過程中，提供安全質量保障尤為重要。針對軟件供應鏈的攻擊，需要依托需求方和供應方初始建立的信任，大多數時候通過軟件的維護過程影響到下游企業（建立信任？如何重建信任？）軟件的維護過程軟件更新發布（補?。┵Y產摸排與應急響應與上下游信息同步渠道網絡安全防線構建響應效率VS 穩定性公開性 VS 保密性通過信息交互建立信任、同時防止假冒臨時性響應措施構建爭取時間，維護過程追求穩定性、可靠性對部分人群或者企業進行公開，完全公開需要時間身份驗證（包括發布者、維護者等）02.軟件產品管理維護攻擊者深入開發環境，直接在代碼中添加后門，通過軟件更新的機制影響關注代碼提交更新的內容攻擊者污染公開的倉庫（使

7、用假的包、偽裝成高版本的包），通過引入方式，進入軟件攻擊者利用公開發布的補丁/安全補丁，逆向分析漏洞并制作成工具，對下游供應商進行攻擊疑問：不同軟件/產品/服務更新發布（補?。?，方式不一樣，如何開展安全管理換個角度：從歷史的事件、攻擊面、攻擊方式等角度去關注有哪些風險，以風險的角度逆推更新發布的安全管理，隨著持續提升機制優化關注引入的第三方包補丁在有限范圍內公開（也需要結合信息渠道、響應）產品（補?。┌l布和驗證和渠道攻擊者利用替換補丁、攔截下載等方式，注入或者替換為惡意軟件。建立軟件簽名校驗的機制為需求方、監管方建立單獨的信息渠道，提前進行預警，對內發布補丁，一段時間后進行公開自建第三方倉庫，

8、構建準入機制，開展第三方包治理工作02.軟件產品管理維護應用畫像繪制源代碼倉庫組件SBOM信息API接口信息應用信息系統畫像風險情報風險情報識別風險排查風險確認風險處置風險總結風險情報訂閱/收集（文檔/表單、服務）其他渠道風險通報各系統安全風險聯系人清單（表單/系統維護）風險通知排查流程風險排查、分析以及處置指南制作（服務）資產管理（表單/系統）風險/漏洞生命周期追蹤（表單/系統）確定、驗證、實施處置措施總結工作開展文檔支持安恒工具支持系統支持接受Log4j風險預警Log4j組件存在相關風險臨時措施：升級WAF規則修復措施：升級log4j版本到2.17.2更新安恒SCA工具規則，通知各系統聯系

9、人排查log4j組件情況，并上報資產管理系統，匹配log4j組件信息，下發到各聯系人協助排查風險信息納入到流程跟蹤風險處置情況驗證修復措施效果以及可能的影響。完成風險的處置總結：更新相關操作文檔、組件推薦使用指南等因涉及供應鏈的合作，絕對的安全不存在，需要提升軟件產品安全風險響應的速度log4jSpringshell02.軟件產品管理維護面向企業的產品，很難說做到只管好自己就是安全的，尤其是風險會向下游傳遞的背景下信創軟件企業上游供應方下游需求方信創軟件產品收集風險信息報告風險信息整改風險補丁補丁信息公共服務平臺上報上報上報上報其他情報中心收集風險信息提升關鍵信息在軟件產業鏈上的傳播速度03軟件產品文檔補充軟件文檔內容，引入安全性說明03.軟件產品文檔文檔是否也可以提供安全配置的說明例如敏感接口標識、自助注冊功能、文件后綴配置文檔和軟件是密不可分的關系（包括了軟件界面的引導性說明）。誤操作、誤配置、使用默認密碼等產生的風險依然很多軟件配置界面是否可以提供風險說明軟件安全性文檔軟件SBOM信息軟件操作手冊軟件API接口軟件配置項手冊軟件產品的安全性報告軟件故障處理手冊軟件獲取方式、聯系方式等2023 WEST LAKEDIGITAL SECURITYCONFERENCE謝 謝THANK U更多資料請關注西湖論劍小程序