悬镜安全联合安全牛重磅发布《软件成分分析(SCA)技术应用指南》报告
2023-6-25 17:34:53 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

2023年6月20日,悬镜安全作为国内软件成分分析SCA技术代表性厂商,联合安全牛及其它行业厂商共同发布了《软件成分分析(SCA)技术应用指南》报告。在报告中,悬镜安全基于自身在金融领域的行业洞察与理论实践,深度输出了SCA技术在金融行业的落地实践案,以开源风险治理为目标,开发流程安全为抓手,为企业开源风险治理活动的落地提供了可行性。

《软件成分分析(SCA)技术应用指南》报告
本次《软件成分分析(SCA)技术应用指南》报告基于国内SCA能力的产业现状、技术实现、工具成熟度进行了调研,并围绕不同厂商SCA能力的差异化,SCA工具的功能特性、应用挑战、选型指导、场景实践进行研究和分析,同时精选了行业实践案例,为企业SCA的普及和有效落地提供经验参考。
随后,悬镜安全技术合伙人李浩在线上发布会中进行了《源鉴SCA在数字供应链安全建设中的落地实践》主题分享,为行业用户快速梳理了SCA技术在数字供应链安全建设当中的应用流程与落地方案。

悬镜安全技术合伙人李浩演讲视频回顾

OpenSCA与源鉴SCA

确保软件供应链安全的核心能力

悬镜安全技术合伙人李浩在本次分享中提到,当前现代应用的开发模式基本都是组装而非纯自研,开源代码在数字化应用中所占的比例已增至78%-90%。以开源为主导的开发模式已成为应用开发的主流,但与此同时,开源项目的广泛应用也将开源领域难以解决的安全顽疾引入到了软件供应链。
三大核心引擎,分析开源组件安全风险
SCA同时拥有源代码成分分析引擎、二进制成分分析引擎和运行时成分分析引擎,从数字供应链的引入源头、开发过程、运行监控、管理多维度闭环治理开源组件的安全风险。从开发测试阶段,持续交付、持续集成阶段,再到应用运行阶段,SCA可以通过源码检测、二进制检测和运行时探针检测,对开源组件漏洞及许可证合规风险进行分析与识别。
构建软件物料清单,建立安全管理流程
企业用户通过软件成分分析SCA工具构建生成SBOM,有助于揭示整个数字供应链中的漏洞与弱点,围绕SBOM开展漏洞管理、应急响应、资产管理、许可证和授权管理、知识产权管理、合规性管理、基线建立和配置管理等工作,可以显著减轻数字供应链攻击威胁,驱动数字供应链安全。围绕SBOM统一安全评估标准,建立软件生命周期威胁卡口。其通用管理流程框架如下:
图1 围绕SBOM建立安全管理流程
1. 建立基线:

根据已清点的资产,进行白名单、黑名单组件基线建立,指导后续组件选用;

2. 安全设计评估:

在项目进行需求设计时、安全评审阶段,对选用的第三方组件进行风险评估,并依据白名单、黑名单组件基线选用安全组件;

3. 应用安全测试:

除了对组件风险进行管控外,在应用上线、发布过程中,对应用系统进行应用安全测试,发现存在的应用漏洞威胁;

4. CI/CD缺陷修复&跟踪:

将发现的风险接入CI/CD缺陷修复&跟踪平台,如Jira、禅道等,提前修复缺陷并更新SBOM中应用漏洞风险信息;

5. 产品制品发布:
发布产品制品时,同时生成SBOM。经过安全管理流程对软件和软件SBOM进行安全评测,出具安全测试报告。
结合代码疫苗技术,实现运行时风险免疫

在源鉴SCA在数字供应链安全建设中的落地实践上,可通过代码疫苗技术,SCA与RASP技术进行深度耦合与联动,打造闭环的供应链安全风险治理解决方案(详细解决方案可参考子芽的专业著作《DevSecOps敏捷安全》)。

在开发测试阶段,企业可以将源鉴SCA对接到DevOps流程中,对编译构建环节卡点,通过源码级SCA以及二进制SCA技术,保障应用所依赖组件的安全性。

在发布部署阶段,将云鲨RASP轻量级单探针埋入应用中,如疫苗一般与应用融为一体,使其实现对未知漏洞威胁的出厂免疫。

在上线运营阶段,通过源鉴SCA的运行时SCA能力,检测应用实际运行过程中动态加载的开源组件及依赖,结合开源漏洞情报实时检测潜藏的安全漏洞及开源协议风险。当0Day未知漏洞爆发时,通过云鲨RASP进行应急响应,对攻击进行拦截并提供代码级别的热修复补丁,实现数字化应用的运行时风险免疫。

图2 SCA技术应用阶段
基于OpenSCA在开源软件治理层面的广泛应用,以及源鉴SCA在企业级开源软件供应链安全治理的成功实践,悬镜安全正在向行业积极输出自身在各领域下开源软件供应链安全治理的实践经验,帮助用户从漏洞根源入手,结合悬镜安全第三代DevSecOps敏捷安全体系,在提升代码自身健壮性的同时,将安全能力覆盖至应用的全生命周期,全方位护航企业的软件供应链安全。

推荐阅读

关于悬镜安全

悬镜安全,起源于北京大学网络安全技术研究团队“XMIRROR”,创始人子芽。作为DevSecOps敏捷安全领导者,始终专注于以“代码疫苗”技术为内核,凭借原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系,创新赋能金融、车联网、泛互联网、智能制造、通信及能源等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。了解更多信息请访问悬镜安全官网:www.xmirror.cn


文章来源: https://mp.weixin.qq.com/s?__biz=MzA3NzE2ODk1Mg==&mid=2647786978&idx=1&sn=f811d4f8f9402deae887685381330faf&chksm=87708db5b00704a3ec4c6e9a711605ee0ff453cbc3e7aeeecdc920ad7d6e9894d44a587596ef&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh