01 开源组件安全风险管控难

随着软件规模化发展和开源软件的兴起,越来越多的软件在开发过程中集成第三方组件或开源组件。虽然这极大地提高了开发效率,但也难以避免地引入了安全风险。

2021年底,知名的开源项目 Apache Log4j被暴存在严重的安全漏洞,影响范围巨大,被称之为 “核弹级” 漏洞!该漏洞被披露后,虽然各知名漏洞扫描工具(黑盒)均针对该漏洞进行了多次更新,但依旧遗漏了许多遭受该组件安全影响的应用系统。

开源组件泛用的当下,作为企业的技术负责人,您知道您公司的应用软件使用了多少开源组件吗?如果再次发生类似Log4j漏洞的开源安全问题,您是否能快速找到企业中,所有使用该组件的应用软件系统呢?

当我把这两个问题抛到我们的技术交流社群之后,得到的答案大多都是否定的。因为开源组件泛用,我们很难管控应用的安全性。那为什么会这样呢?我总结以下几点原因——

1、流程支持弱

缺乏软件安全全流程管控制度的支持。供应商和交付团队完成某个应用系统的交付后,企业安全人员只能看到新增了一个软件系统“盲盒”,却难以对新增软件系统漏洞、开源许可等安全风险进行全方位掌控。

2、安全鸿沟大

开发团队不理解安全需求,而安全人员也不熟悉开发过程;

缺少软件构成分析和软件组件管理工具。

3、技术难度高

哪些软件组件的使用率高?哪些组件是诸多应用系统所共用的?漏洞出现时,先修复哪些,后修复哪些?怎么修复?技术难度都有些高。

02 软件物料清单管理,开源组件安全管控的“优选”

古代先辈们上阵杀敌,最怕“敌在暗我在明”,摸不清敌军的军队规模,看不到敌军的粮草储备,就不知道该采取什么样的作战策略,也不知道敌我胜算。

软件安全也是如此,最大的挑战在于“软件犹如盲盒”,安全问题隐蔽性强。同时,开源组件被泛用,不确定性风险指数级散播。就像是敌军往我军阵营安插了许多间谍,所以摸清内部情况、打开软件这个“盲盒”,对于管控开源组件安全就十分必要。

而软件物料清单(SBOM),就是打开“应用软件盲盒”的钥匙。

网安云软件物料清单管理平台(点击免费试用),可实现对各应用软件的组件、组件漏洞和开源许可等的安全管理。既明晰了软件的构成关系,又可预警“开源组件风险”,还能进一步通过大屏安全展示。

如此,帮助企业安全人员全面掌握软件组件的使用情况和安全风险,提高软件的透明度和深入细化管理软件安全风险。

开源难题解决思路:

1)SBOM快速生成:多场景快速生成软件物料清单(SBOM)

2)检测组件安全:检测和预警组件漏洞、开源许可等安全风险

3)管理组件资产:搭建组织专属的软件组件资产库

4)安全防护响应:及时采取安全防护响应措施,保护软件资产

通过网安云软件物料清单管理平台,可实现对软件及其组件、构成关系的透明化安全管理,掌控软件安全态势。当得知某个组件存在安全问题时,搜索该组件,即可找出与之关联的所有应用软件系统,以便于安全人员及时采取防护响应等安全措施,保障业务持续稳定安全运行。