2020BCS-北京網絡安全大會：敏捷開發中的開源安全治理.pdf

《2020BCS-北京網絡安全大會：敏捷開發中的開源安全治理.pdf》由會員分享，可在線閱讀，更多相關《2020BCS-北京網絡安全大會：敏捷開發中的開源安全治理.pdf（13頁珍藏版）》請在三個皮匠報告上搜索。

1、敏捷開發中的開源安全治理 開源安全治理的探索與實踐 如何做 開源安全治理的思路 開源安全治理的價值 DevOps成熟度依賴低 較高的威脅確定性 足夠的威脅震撼性 誤報低、效率高、易自動化 投入產出比可觀 開源安全治理所需能力 研發資產中開源軟件及漏洞的識別能力 開源識別：對于給定的配置庫、制品庫或代碼包，能 夠通過技術手段，快速、準確的識別其中的開源軟件及 其版本 漏洞識別：對于識別出的開源軟件，能夠關聯并分析 該開源軟件存在的漏洞信息 開源認證：提供資產軟件與官方軟件一致性認證能力， 避免軟件被篡改，確保資產及工具鏈的安全性 開源軟件資產登記及漏洞跟蹤能力 資產登記：根據開源軟件識別結果，保

2、存產品及其版本 與開源軟件間的映射關系 漏洞跟蹤：當開源軟件漏洞數據更新后，能推送是否有 新的漏洞影響系統中正在使用的開源軟件，一旦有新的 漏洞影響，能及時進行預警，確保不錯過漏洞情報 開源安全治理的實現方式 安全能力集中接入 高易用、低感知的安全服務 統一的安全服務接口 數據集散及信息可視化 安 全 服 務 框 架 ， 核 心 是 對 多 種 安 全 驗 證 工 具 、 能 力 進 行 統 一 封 裝 ， 并 通 過 A P I 或 U I 交 互 ， 及 融 入 交 付 流 水 線 等 途 徑 ， 向 開 發 團 隊 提 供 便 捷 易 用 的 安 全 服 務 集 合 。 通 過 安 全

3、服 務 框 架 提 供 的 服 務 集 合 ， 貫 穿 軟 件 開 發 的 完 整 生 命 周 期 ， 從 需 求 分 析 和 技 術 設 計 ， 直 到 上 線 運 營 及 運 維 。 同 時 ， 安 全 服 務 框 架 也 服 務 于 安 全 團 隊 ， 向 其 提 供 一 系 列 安 全 管 理 服 務 。 實踐與問題 解決歷史、管控當下、防患未來 開源安全治理的實踐 解決歷史：存量開源漏洞梳理與整改 管控當下：開發流程的開源安全檢查 防患未來：開源漏洞預警及應急響應 存量開源漏洞梳理與整改 梳理臺賬整改試點建立基線分批整改支持驗證 p檢測應用產品生產 分支 p建立開源軟件漏洞 與產品映射關系 p梳理數據供管理層 整改決策 p框架類 p依賴JDK升級 p功能單一類 p技術可行、風險可 控 p區分存量與增量 p區分各整改批次 p漏洞級別和應用形 態分批整改，降低 風險 p共性解決方案