- 1、本文档共31页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
软件供应链安全架构及应用实践
目录Contents引言背景解决方案及实践应用效果收益思考启发
01 引言
SolarWinds事件概览网络管理软件SolarWinds公司:为全球45,000多个企业提供IT管理和监控软件2020年12月14日,SolarWinds旗下的Orion网络监控软件更新服务器遭黑客入侵并篡改某组件源码添加后门,具有合法数字签名伴随软件更新下发,导致用户受到长期入侵和监视
SolarWinds事件样本SolarWinds.Orion.Core.BusinessLayer.dll组件被攻击者篡改,增添了名为SolarWinds.Orion.Core.BusinessLayer的包含恶意代码的类函数Initialize()
指令功能Idle无动作Exit退出当前线程SetTime设置延迟时间CollectSystemDescription收集系统信息, 包括主机名, 用户名, 操作系统版本,MAC地址,IP地址,DHCP配置和域等。UploadSystemDescription发送收集到的系统信息。RunTask运行程序、创建进程。GetProcessByDescription获取进程信息,无参数则仅返回PID和进程名。KillTask终止指定PID的进程。GetFileSystemEntries获取系统文件和目录。WriteFile将解码下发的Base64编码数据写入指定文件。FileExists测试指定文件是否已存在。DeleteFile删除指定文件。GetFileHash获取指定文件的MD5值。ReadRegistryValue读取指定注册表位置。SetRegistryValue写入指定注册表位置。DeleteRegistryValue删除指定注册表位置。SolarWinds事件样本
SolarWinds事件启示产品供应方应该在产品研发的全生命周期中进行尽可能全面安全测试,保证产品的安全性与完整性,确保在给下游分发的软硬件/工具/组件/补丁中,不被植入、篡改、伪造或者替换下游产品厂商或最终用户,需加强对上游供应商发布的产品/补丁的安全测试和安全审查
02 背景
安全左移:质量和安全的平衡质量第一?安全是质量的关键属性,安全需要左移,从源头解决安全问题,保障软件质量监管要求陆续出台《ICT 供应链风险管理标准》(NIST. SP800-161)《网络安全审查办法》网络安全审查等保2.0:安全规范、安全性测试、检测恶意代码行业规范: 安全测评、漏洞修复和加固传统安全不足无法治本:无法洞悉根源,功能全覆盖修复成本:测试、上线阶段修复漏洞成本高昂软件应保证自身安全Gartner: 75%安全攻击由软件自身漏洞造成NIST: 92%漏洞是应用自身弱点,非网络原因软件供应链安全100%使用开源软件超8成软件项目存在已知高危开源软件漏洞攻击不断左移,针对软件供应链的攻击事件频发信息系统安全的底板工程外因内因
零信任:效率和安全平衡CI/CD工具链本身安全开源软件的高信任度测试工具误报关注较多,漏报关注较少,有论文显示漏报率高达80%很多企业采用多款工具共用求合集方式降低误报率,但成本太高学习每种平台工具,查看繁琐的帮助文档去扫描测试代码跨语言项目包含多个开发语言,需要人工区分扫描,测试成本较大业务vs开发团队vs安全团队工具人员安全妨碍生产效率?安全下的效率才是真效率,通过平台解决安全信任问题,提升真效率
“Golden Pipeline(黄金管道)”特指一套通过稳定的、可预期的、安全的方式自动化地进行应用持续集成/部署的软件流水线(toolchain)设计 Design运行应用自我保护 RASPCI拉取请求 PR请求批准 PRapprovalPR到云端 Golden Gate代码安全审计Sec CR创建集成分支 Create IB静态分析 SAST渗透众测 PenTest SRC合并生产 MR prod交互测试 IAST动态测试 DAST组件分析 SCA编译构建 Make Build冒烟单测 Smoke Unit Test合并分支 MRCDDevSecOps黄金管道:DevSecOps落地实践
需要解决的问题全面性安全测试工具单一漏洞发现能力单一无法协同增效有效性专业性处理流程难管控管理过程难闭环平台工具难支撑数据难以关联和利用人员缺乏专业和效率经验无法积累和传承
03 解决方案及应用实践
代码库运行实例部署SAST DASTSCA PMD IAST知识库MASTNST行业经验历史记录项目定制多维质量建模多维智能分析引擎多维软件质量评估报告与动态化监管总体解决方案全面性平台多工具集专业性多维安全知识库有效性智能自动化任务编排
系统架构金刚平台WebReportDashboa
文档评论(0)