专栏
开源软件具有免费、繁荣、易获取等优点,因此被各行业广泛引入和使用,尤其是伴随着“大智移云链”等新兴技术的蓬勃发展,开源软件的支撑作用越来越明显。但是开源软件又具有开放、自由、共享等特性,使其容易被利用作为攻击点。通过利用开源软件漏洞,甚至伪装成开源贡献者预埋漏洞,都是被验证可行的攻击形式。各行业在享受开源红利的同时,也逐步认识到开源软件的潜在风险。监管部门、企业、机构等都开始重视并推动开源软件安全治理工作。
开源软件是一种典型的信息资产,可以用信息资产管理理论来开展安全治理。笔者在工作过程中,综合采取梳理资产、评估和处置风险、持续改进等思路,逐渐打开工作局面。下面从管理、技术、实施三个方面谈一下体会。
管理方面
(1) 摸清家底
资产管理的第一步是建立资产清单。所以,开源软件安全治理的第一步就是摸清家底,解决开源软件“有哪些”、“谁在用”的问题。我们通过搭建私服仓库对开源软件进行统一管理,借助构建依赖关系自动化分析能力,自动获取应用系统和开源软件之间依赖关系,掌握产品中应用了哪些开源软件,以及其类型、协议、来源等信息,从而形成了全量使用关系视图。
(2) 明确职责
资产需要有管理责任人。通过发布制度,我们按照“谁引入,谁负责,谁支持”的原则明确了开源软件的责任人。对于开源软件新出现的漏洞,由安全部门负责监测告警,由相关责任人负责漏洞处置。
(3) 理顺流程
为做好安全管理工作,建立了覆盖开源软件全生命周期的闭环安全管控工作流程,包括:在引入环节建立了安全审核流程;在使用环节建立了漏洞监测、漏洞处置、例外申请流程;在退出环节建立了安全退出流程等。
(4) 制定标准
为满足监管和法律合规要求,企业应建立一套明确的开源管理政策,指导开源软件的安全、合规使用。在开源协议方面,建立可接受协议白名单。在安全方面,明确哪些风险我们能够接受、哪些必须拒绝,制定切合实际的标准。我们将开源软件分为开源基础软件、组件、工具三大类。对每一类制定不同的准入标准和处置标准,形成合理可行的差异化标准体系。例如,开源基础软件的使用范围广,升级影响大,其漏洞均需经过风险评估后再决定是否修复,且尽量统筹打包修复;开源工具不上生产,其漏洞风险相对较小,可适当降低安全准入门槛和漏洞处置时限要求。
(5) 度量评价
通过度量和评价,可以不断发现问题并持续改进,促进开源软件安全管理水平的提升。在治理过程中,我们通过设置过程性指标和结果性指标对治理工作进行度量。过程性指标主要用于度量和推进存量治理工作,比如任务完成率;结果性指标用于度量组织开源软件的治理成效、安全水平、管理能力等。
技术方面
(11) 工具支撑
完善的工具是实施治理工作的基础。开源仓库管理、依赖关系管理、黑白名单管理、安全漏洞管理、流程管理、配置管理,都离不开工具的支撑。我们基于开源仓库管理工具、开源软件漏洞扫描工具,结合已有构建、配置、项目管理工具,构建了开源软件的统一获取渠道,建立了投产前安全检查门禁,提供了限制使用、例外申请渠道,构建了支撑开源软件各项安全管理工作的工具体系。
(2) 威胁情报
及时全面的获取开源软件漏洞信息至关重要。可以基于开源软件漏洞扫描工具,结合NVD、CNVD等漏洞库信息,以及业界专业安全公司提供威胁情报,形成多渠道的综合情报来源。
(3) 处置方案
漏洞处置主要以升级版本为主,但有的漏洞可能尚未修复,或者该开源软件所有版本都有漏洞,因此需要对漏洞风险进行综合评估后,采取切实可行的处置方案。例如:对于经评估不受漏洞影响的可不修复,但必须限制该开源软件的扩散使用;对于暂无安全版本的,可升级到漏洞数量最少的稳定版本,并采取相应的风险缓释措施等。
实施方面
(1) 存量治理
针对已梳理出的开源软件清单,借助开源软件漏洞扫描工具(也可手工在NVD、CNVD等漏洞库查询),可以明确待治理的存量漏洞清单。对于刚启动开源软件安全治理的企业,存量漏洞数量可能很大,因此,需要按照“风险优先”的原则,统筹考虑应用系统间的依赖关系,制定基础平台优先治理、互联网应用重点治理等差异化的治理策略,分批次有序开展治理。我们在治理过程中采取了专项治理、自主治理和即时处置三种方式,专项治理主要针对组织内风险程度高、影响范围广的漏洞进行重点彻底治理。自主治理主要是发挥研发团队的能动性,自主选择范围压降漏洞组件数量。即时处置是针对监管或情报部门发来的高危、重要漏洞立即开展处置。
(2) 外防输入
为避免出现“边治理、边污染”的情况,需要对开源软件的引入严格把关。一是建立开源软件引入安全审查机制,只有通过安全审查的开源软件采可以进入组织的开源私服仓库。二是坚持以组织的开源私服仓库作为开源软件的唯一可信来源,应用软件集中构建必须依赖私服仓库,防范未经授权的软件被构建入应用系统中。三是持续更新开源软件使用视图,自动识别所有开源软件新增漏洞情况,及时向研发团队发出漏洞告警,推动漏洞修复和补救措施快速落实。
(3) 内防扩散
随着时间的推移以及漏洞库的更新,私服仓库中软件的安全状态会发生变化。在出现新的安全漏洞时,要第一时间限制漏洞软件的使用范围,防范风险在组织内蔓延。应该建立开源软件的“灰名单”以及应用系统的“白名单”,对出现漏洞尚未完成治理的开源软件和系统进行标记,严禁“白名单”外的系统使用“灰名单”内的软件。
开源软件安全治理是一项长期持续复杂的系统工作,在治理实践过程中,真正的银弹并不存在,必须以扎实、细致的工作态度来推动实施。从业者要真正认识到开源软件安全治理的长期性和艰巨性,正确处理好安全与发展的关系,建立高效实用的工作机制和符合企业技术栈的工具链,构建制度+科技的全方位开源软件管理安全防线。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
戳这里,看该作者更多好文
推荐系统
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
相关文章
- win7无线WIFI网络怎么取消自动连接?
- 主动做了业务监控,产品经理对我竖起大拇指
- Unix主机安全漏洞分析
- 社工出击!朝鲜黑客再次瞄准网安分析人员
- web,sql分离的一点想法
- 黑暗网络市场帝国遭DDoS攻击而关闭,帝国提供多种非法商品
- 编程语言安全漏洞:C++、PHP、Java、Python、.Net 和 JavaScript
- 特警强攻反被告,这家让政府赔大门的地下网络商终于黄了
- Windows 10曝HTTP协议漏洞 可导致蓝屏 本月补丁已修复
- 专栏
- 网络管理命令
- PHP在安全方面的另类应用
- Azure漏洞允许攻击者升级权限
- 九项措施保障笔记本电脑系统安全
- 找不到宽带连接的解决办法
- 网卡驱动程序不正常怎么办?
- 完善立法加强监管,促进个人信息保护
- 添加局域网打印机(网络打印机)的图文方法
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
- 1迅雷云播“手机看片神器”使用教程(随时随地秒速离线云播放)
- 2微信公众号怎么年审? 微信公众号年审流程及所需材料介绍
- 3Win10怎么设置网络按流量计费 Win10网络设置流量收费教程
- 4Steam提示“需要在线进行更新,请确认您的网络连接正常”怎么办?
- 5i7 6700主频是多少 i7-6700参数详解
- 6安卓手机安装运行win7系统教程 安卓手机装win7系统教程
- 7win7蓝屏代码7f指什 怎么解决 很严重
- 8二手笔记本电脑价格是多少 二手笔记本电脑价格盘点
- 9华硕b460主板装win7系统及bios设置教程 10代CPU安装Win7教程 BIOS设置 U盘启动 完美支持USB驱动
- 10bitlocker是什么
常用系统
- 1华硕笔记本&台式机专用系统 GHOSTXPSP3 2018年5月 ISO镜像快速下载
- 2深度技术 Ghost Win7 x64 Sp1 电脑城纯净版2019年8月(64位) ISO镜像高速下载
- 3电脑公司Ghost Win8.1 X64位 纯净版2020年8月(自动激活) ISO镜像快速下载
- 4深度技术 Windows 10 x64 企业版 电脑城装机版2019年5月(64位) 高速下载
- 5深度技术Ghost Win8.1 x32位 特别纯净版2019年12月(免激活) ISO镜像高速下载
- 6番茄花园GhostWin7 SP1电脑城新春特别 极速装机版2021年2月(32位) 最新高速下载
- 7雨林木风 Windows10 x64 企业装机版2019年6月(64位) ISO镜像高速下载
- 8新雨林木风 Windows10 x86 企业装机版2020年7月(32位) ISO镜像高速下载
- 9电脑公司 装机专用系统Windows10 x64 企业版2018年5月(64位) 快速免费下载
- 10笔记本&台式机专用系统 GhostWin7 32位旗舰版2020年12月(32位) ISO镜像免费下载