悬镜源鉴SCA开源威胁管控平台-
某大型城市商业银行应用案例
项目背景:
● 某大型城市商业银行业务辐射东南沿海,现已开展一百余个经营网点,在金融机构 数字化 转型的过程中,该行主要通过商业采购和合作研发等方式来进行系统建设,在此过程中引入了大量 开源 技术应用,开源软件数量飞速增长。2021年,中国人民银行、银保监会对金融业开源治理能力的要求陆续出台,该行以往通过人工自主排查修复的开源软件管理方式已无法满足监管要求,亟需针对开源软件提高识别、漏洞评估、协议分析及修复能力。
解决方案 :
● 引入源鉴SCA,以工具建设+管理制度并重的方式开展开源软件安全管理工作,完善开源软件资产识别、漏洞告警、协议风险分析及整改建议等安全管理制度,同时安全工作左移,在应用上线前使用SCA工具发现开源组件风险并及时修复,建立开源软件资产台账,持续监测所使用的开源软件的安全风险,从而加强对软件开发过程中各环节的开源软件安全风险的发现和治理。
用户收益:
● 通过持续完善开源运维管控策略和开源治理体系建设,提升了该行开源技术的安全合规应用水平,满足“安全可控、合规使用”的基本方略。
● 帮助该行研发人员在开源组件的引入及使用过程中确定组件的安全版本范围,在研发早期阶段规避了开源组件漏洞的引入,大大降低了开源组件漏洞修复成本,有效减少了业务上线时开源组件引入的风险。
● 该行通过源鉴SCA识别并解析引入开源软件的 许可证 及其风险信息,及时进行整改、替换并启动退出机制,从而规避了潜在的许可证相关法律合规风险。
SCA某电力评测机构应用案例
项目背景:
●该电力测评机构内部拥有大量供应商提供的基于第三方开源组件开发的业务应用软件,以往对于交付软件缺少第三方组件安全审查手段。随着国家层面对关键信息基础设施单位供应链安全建设的重视,针对业务应用软件需要利用有效的SCA检测工具,对软件进行成分分析及开源组件风险审查,并找出潜在安全风险。
解决方案:
●针对供应商交付提供的软件,增加软件供应链安全审查要求,在软件开发完毕进行交付时,要求对软件交付物进行安全审查。由于软件交付物形态可能是源代码、应用包、二进制安装文件或 容器镜像 文件,因此引入源鉴SCA全面覆盖各个类型的软件交付物,并输出SBOM清单及安全审查报告。对于存在高危组件风险的交付物,需要整改并复审后方可接收;并且利用SBOM清单建立供应商软件资产管理,结合悬镜供应链事件情报订阅,及时下放风险预警。
用户收益:
● 该机构利用SCA的成分分析技术,补充了针对软件SBOM、第三方开源组件漏洞风险及许可风险的审查能力,保障软件交付安全,减少软件上线后漏洞修复带来的额外成本。
● 符合该机构整体供应链安全防护建设要求,在响应国家政策号召的同时,确保处于关键信息基础设施行业供应链安全建设方向领先水平。
● 整体检测目标文件类型覆盖率98%以上,处于业内顶尖水平,因此在应对当前交付软件供应链安全审查需求的同时,也可将安全能力做对外输出。
SCA某大型运营商应用案例
项目背景:
● 该运营商在长期的业务系统建设中内部引入了大量开源软件,尤其是外包产品引用了众多来源不明的第三方开源框架和组件。由于安全管理部门过往未制定相应的开源组件使用规范、开发人员在开发过程中未能关注开源组件的漏洞情况,导致开源组件安全漏洞反复出现,由开源软件直接或间接引发的故障占比较高。
为此,该运营商内部启动了开源治理的工作,在当前开发人员安全基础较为薄弱的背景下,如何制定企业内部开源组件基线规则、保证开源组件引入的规范,是内部开源治理建设首要解决的问题。
解决方案:
在该运营商的容器云平台部署源鉴SCA,重点建设内部开源组件版本基线使用规则。
● 首先建立完善的组件选型机制,参考社区活跃程度、组件更新间隔时间、组件更新频率、是否仍持续更新以及开源许可证等多个维度辅助考量开源组件的版本基线范围设置;
● 其次,建立企业内部私服组件库,设置私服库入库和出库规则,通过开源安全工具扫描后方可出入库;
● 结合在流水线构建阶段的基线阻断配置,通过在流水线构建过程中实时进行开源组件安全检测,若检测应用不符合开源组件基线使用规则,则阻断流水线的构建过程。
用户收益:
● 建立了内部的开源组件使用规范,在增量开源组件的引入及使用过程中确定组件的安全版本范围,从而规避了开源组件漏洞的引入,有效减少由开源漏洞造成的系统故障风险。
● 存量开源软件或组件出现漏洞时,该运营商可以快速定位到漏洞组件的影响范围,并根据源鉴SCA提供的修复建议及对应组件的推荐升级版本及时止损。