优秀开源治理实践 | 悬镜携手联通软研院入选通信行业开源创新案例
2024-1-5 10:1:7 Author: mp.weixin.qq.com(查看原文) 阅读量:8 收藏

近日,“2024中国信通院ICT深度观察——开源和软件供应链论坛”在京顺利召开,由中国通信学会开源技术委员会、中国信通院云计算与大数据研究所、“科创中国”开源创新联合体联合发起的《“源生万态”——中国通信行业开源创新发展案例集》(以下简称“案例集”)正式发布,悬镜安全《基于SCA技术的联通软研院开源风险治理》从众多实践项目中脱颖而出,成功入选案例集。

悬镜安全《基于SCA技术的联通软研院开源风险治理》

《中国通信行业开源创新发展案例集》旨在融合行业力量,梳理通信行业开源发展趋势,以产业化为导向,展现具有先进性、引领性、示范性的通信行业开源案例,推动行业开源生态持续繁荣发展。在开源技术应用方面,案例集包括了通信行业内先进的开源技术的实际应用案例,展示了行业内开源技术创新应用的方向。

悬镜安全《基于SCA技术的联通软研院开源风险治理》优秀实践案例,为央企国家队IT技术研发核心力量构建了企业级开源治理平台、院级的软件物料清单,完善了开源组件管理规范,进一步贯彻落实中国联通大IT系统一体化建设、集中管控和可持续发展目标。

一体两面

开源软件引入的红利与风险

中国联合网络通信有限公司软件研究院是中国联通集团提升自主研发能力的重要战略规划单位,主要承担中国联通集团内部业务支撑系统、管理支撑系统、大数据、软件研发等重要任务以及前瞻性技术研究与应用。

近年来,全球范围内有关软件供应链安全的攻击事件层出不断,Apache log4j2漏洞的爆发更进一步推动开源领域风险治理工作,让行业乃至国家认识到了问题的严重性。中国联通过去在长期的业务系统建设中引入了大量开源软件,如K8s、Ceph、Contiv、Istio、Redis、Kafka等,这些软件的引入在解决IT系统建设难题的同时节省了大量成本,为中国联通IT建设带来了许多技术红利。然而,由于未制定相应的开源组件使用规范,存在各个系统开源软件使用不一、复杂多样,开发人员在开发过程中未能关注开源组件的漏洞情况,开源组件安全漏洞反复出现,由开源软件直接或间接引发的故障占比较高。

为进一步深入落实中国联通集团“1+9+3”战略规划、筑牢数字化发展防线,结合中国联通研究院现有软件项目使用开源代码的比例逐步提高的现状,如何制定企业内部开源组件基线规则、保证开源组件引入的规范,是内部开源治理建设首要解决的问题。

悬镜源鉴SCA助力

携手打造开源治理新范式

为解决在引入开源软件后面临的各种风险,联通软研院引入悬镜源鉴SCA开源威胁管控平台,基于代码成分溯源引擎、制品成分二进制分析引擎及运行时成分动态追踪引擎三大引擎核心能力,实现二进制文件、源代码以及运行时第三方组件的深度检测,助力治理工作的有效实施落地。

源鉴SCA产品能力全景

针对开源软件现状,联通软研院通过源鉴SCA重点建设了内部开源组件版本基线使用规则:

首先建立完善的组件选型机制,参考社区活跃程度、组件更新间隔时间、组件更新频率、是否仍持续更新以及开源许可证等多个维度辅助考量开源组件的版本基线范围设置;

其次,建立企业内部私服组件库,设置私服库入库和出库规则,通过开源安全工具扫描后方可出入库;

最后,结合在流水线构建阶段的基线阻断配置,通过在流水线构建过程中实时进行开源组件安全检测,若检测应用不符合开源组件基线使用规则,则阻断流水线的构建过程。

扎实提升开源组件风险控制能力

有效统筹业务发展与安全

全面降低开源组件引入风险

方案建设落地后,联通软研院建立了内部的开源组件使用规范,研发人员在开源组件的引入及使用过程中即可确定组件的安全版本范围,在研发早期阶段规避了开源组件漏洞的引入,大大降低了开源组件漏洞修复成本,有效减少了业务上线时开源组件引入的风险。

组件资产测绘及台账可视化

源鉴SCA开源威胁管控平台自动化梳理软研院业务系统的组件资产,从企业、部门、项目及任务等多角度分析组件的影响范围和依赖关系,通过可视化拓扑图多维度展示DSDX SBOM清单,实现对软件物料清单的透明化管理,同时在安全事件发生时也能及时回溯风险组件的位置及影响范围,为解决组件风险快速提供依据。

构筑开源风险治理体系

联通软研院基于源鉴SCA的开源治理能力建立了企业级平台,可对各类型采购、自研、软件资产进行梳理和安全审查,进一步在内部建立开源治理组织架构,制定配套的开源治理管理制度和规范,逐步构筑起比较完备的开源风险治理体系,规范开源软件的引入、使用、治理、退出等全生命周期流程,做到全流程安全可控,进而提升开源治理能力。

实现DevSecOps敏捷安全

源鉴SCA与软研院已有DevOps流程无缝结合,在流水线的相应阶段自动发现应用程序中的开源组件,提供关键的版本控制和使用信息,并在DevOps的任何阶段检测到漏洞风险和策略风险时触发警报。所有信息通过安全和开发团队所使用的平台工具实时推送,全程不改变原有开发流程、无需额外安全测试时间投入,满足联通软研院敏捷开发和DevOps模式下软件产品快速迭代、快速交付的需求。

SCA技术已成为数字供应链开源治理的关键入口,悬镜安全始终坚持以技术创新为核心引擎,源鉴SCA是国内首款基于多引擎的SCA产品,作为悬镜第三代DevSecOps智适应威胁管理体系中开源治理环节的供应链安全管理与审查平台,专注于解决企业内引入的开源软件及数字供应链的安全风险问题。作为国内SCA技术的实践引领者,源鉴SCA已广泛落地于金融、车联网、泛互联网、智能制造、通信及能源等大量行业头部标杆用户,为其提供数字供应链全面可靠的安全保障,持续守护中国数字供应链安全。

推荐阅读

关于“悬镜安全”

悬镜安全,起源于北京大学网络安全技术研究团队“XMIRROR”,创始人子芽。作为DevSecOps敏捷安全领导者,始终专注于以“代码疫苗”技术为内核,凭借原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系,创新赋能金融、车联网、泛互联网、智能制造、通信及能源等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。了解更多信息请访问悬镜安全官网:www.xmirror.cn


文章来源: https://mp.weixin.qq.com/s?__biz=MzA3NzE2ODk1Mg==&mid=2647789476&idx=1&sn=f6588218adc3d4fdcb2e7f450c7088b2&chksm=877087f3b0070ee5050cdc2a2acbeade31f0e8548a95bd8aff9a52cd988f6fff337328a9b99c&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh