软件物料清单管理 | 打开“应用软件盲盒”,预警“开源组件风险”
01 开源组件安全风险管控难
随着软件规模化发展和开源软件的兴起,越来越多的软件在开发过程中集成第三方组件或开源组件。虽然这极大地提高了开发效率,但也难以避免地引入了安全风险。
2021 年底,知名的开源项目 Apache Log4j 被暴存在严重的安全漏洞,影响范围巨大,被称之为 “核弹级” 漏洞!该漏洞被披露后,虽然各知名漏洞扫描工具(黑盒)均针对该漏洞进行了多次更新,但依旧遗漏了许多遭受该组件安全影响的应用系统。
开源组件泛用的当下,作为企业的技术负责人,您知道您公司的应用软件使用了多少开源组件吗?如果再次发生类似 Log4j 漏洞的开源安全问题,您是否能快速找到企业中,所有使用该组件的应用软件系统呢?
当我把这两个问题抛到我们的技术交流社群之后,得到的答案大多都是否定的。因为开源组件泛用,我们很难管控应用的安全性。那为什么会这样呢?我总结以下几点原因——
1、流程支持弱
缺乏软件安全全流程管控制度的支持。供应商和交付团队完成某个应用系统的交付后,企业安全人员只能看到新增了一个软件系统“盲盒”,却难以对新增软件系统漏洞、开源许可等安全风险进行全方位掌控。
2、安全鸿沟大
● 开发团队不理解安全需求,而安全人员也不熟悉开发过程;
● 缺少软件构成分析和软件组件管理工具。
3、技术难度高
哪些软件组件的使用率高?哪些组件是诸多应用系统所共用的?漏洞出现时,先修复哪些,后修复哪些?怎么修复?技术难度都有些高。
02 软件物料清单管理,开源组件安全管控的“优选”
古代先辈们上阵杀敌,最怕“敌在暗我在明”,摸不清敌军的军队规模,看不到敌军的粮草储备,就不知道该采取什么样的作战策略,也不知道敌我胜算。
软件安全也是如此,最大的挑战在于“软件犹如盲盒”,安全问题隐蔽性强。同时,开源组件被泛用,不确定性风险指数级散播。就像是敌军往我军阵营安插了许多间谍,所以摸清内部情况、打开软件这个“盲盒”,对于管控开源组件安全就十分必要。
而软件物料清单(SBOM),就是打开“应用软件盲盒”的钥匙。
网安云软件物料清单管理平台,可实现对各应用软件的组件、组件漏洞和开源许可等的安全管理。既明晰了软件的构成关系,又可预警“开源组件风险”,还能进一步通过大屏安全展示。
如此,帮助企业安全人员全面掌握软件组件的使用情况和安全风险,提高软件的透明度和深入细化管理软件安全风险。
开源难题解决思路:
1)SBOM 快速生成:多场景快速生成软件物料清单(SBOM)
2)检测组件安全:检测和预警组件漏洞、开源许可等安全风险
3)管理组件资产:搭建组织专属的软件组件资产库
4)安全防护响应:及时采取安全防护响应措施,保护软件资产
通过网安云软件物料清单管理平台,可实现对软件及其组件、构成关系的透明化安全管理,掌控软件安全态势。当得知某个组件存在安全问题时,搜索该组件,即可找出与之关联的所有应用软件系统,以便于安全人员及时采取防护响应等安全措施,保障业务持续稳定安全运行。
版权声明: 本文为 InfoQ 作者【网安云】的原创文章。
原文链接:【http://xie.infoq.cn/article/3b97817ad4909a4f49ebb61d6】。文章转载请联系作者。
评论