05刘津铭-从源头预防_移动终端软件供应链安全治理探讨.pdf

《05刘津铭-从源头预防_移动终端软件供应链安全治理探讨.pdf》由会员分享，可在线阅读，更多相关《05刘津铭-从源头预防_移动终端软件供应链安全治理探讨.pdf（22页珍藏版）》请在三个皮匠报告上搜索。

1、从源头预防：移动终端软件供应链安全治理探讨vivo安全研发工程师 刘津铭软件供应链安全发展趋势01目录020304移动端软件供应链治理痛点vivo软件供应链安全治理实践探讨与未来展望01 软件供应链安全发展趋势软件供应链及软件供应链安全的定义供应链软件生命周期开放软件开源软件商采软件DEVOPS交界面交界面引入使用生产开发安全来源安全交付安全供应链下游安全最终使用侧安全有序高效安全可靠多个层级多个组织特定渠道特定方式软件供应链发展趋势及面临安全风险趋势：开源软件逐步成为软件供应链基础设施风险：开源代码的可持续性下降，开源代码的质量难以把控趋势：随着供应链链条增长，软件复杂度增加风险：软件供应链

2、链条越长攻击面越大，完整性遭受挑战数据来源：新思科技2023开源安全和风险分析报告02 移动端软件供应链治理痛点例：CVE-2023-4863缓冲区溢出影响广泛排查难度高 Libwebp 是谷歌提供用于编码和解码 WebP 格式图像的库 排查对象是构建后的应用、制品，且通过多重依赖引用Libwebp制品，缺少源码，二进制排查难度高移动端软件供应链安全治理痛难点软件供应链来源广泛多重依赖关系复杂APKJAVA SDK1JAVA SDK2JAVA SDK4JAVA SDK5C SDK2JAVA SDK6自有代码JAVA SDK3C SDK1应用程序AAR SDK?.soSDK java源码libw

3、ebp c语言源码多重依赖多重制品制品对用户完全可见管理难排查难不可控03 vivo软件供应链安全治理实践vivo软件供应链安全治理实践生产引入使用软件供应链生命周期供应商评估 代码安全评估许可证合规评估软件成分分析SBOM生成、更新静态扫描动态扫描notice集成威胁情报收集SBOM维护 应急响应应用行为管控执行活动使用工具规范&指引供应商引入规范第三方软件引入规范开源许可证使用规范安全编码规范安全设计规范应急响应流程vivo软件供应链安全治理体系安全扫描平台合规扫描平台SCA平台威胁情报平台漏洞跟踪平台引入环节：建设组件管理平台统一管控内部仓库产品A产品B产品C白名单灰名单黑名单Gradl

4、e引用Gradle引用文件引用不同渠道的第三方软件研发申请引入准入审核代码安全许可证合规供应商准入成分分析官方仓库解析官方数据对接漏洞知识库代理管控生产环节：多模态行为主体识别精准分析组件管理平台对制品管控能力强，对源码方式引入的第三方软件管控能力弱多模态行为主体识别：精确识别代码文件归属，提升软件成分分析准确性，为软件供应链安全治理提供数据支撑SDK引用代码片段引用包管理器引用文件引入多模态行为主体识别源代码识别制品识别生产环节：多模态行为主体识别精准分析源代码检测技术：通过包管理器、代码片段、精确文件/目录识别源代码检测技术代码片段识别精确文件识别包管理器识别包管理器代码片段精确文件目录适

5、用场景软件代码三方软件嵌入/修改三方软件软件代码三方软件依赖三方软件生产环节：多模态行为主体识别精准分析制品检测技术：通过代码路径特征、函数特征、文件特征、哈希特征、manifest特征等多维度识别信息收集特征提取成分识别组件仓库GitHub隐私声明第三方软件基础信息应用信息收集提取文件特征文本特征manifest特征函数特征代码路径特征多特征第三方软件库构建特征匹配结果识别识别处理多模态匹配加权覆盖第三方软件3000+个提取特征15000+条阈值生产环节：多模态行为主体识别精准分析制品检测技术：通过代码路径特征、函数特征、文件特征、哈希特征、manifest特征等多维度识别多模态行为主体识别

6、已覆盖vivo软件开发全流程，日均提供识别能力6000+次制品检测技术路径特征函数特征文件特征软件代码三方软件嵌入/修改三方软件适用场景哈希特征清单特征对APK制品检测进行横向测试，vivo基于自研多模态行为主体识别能力，检出效果好vivo检测平台A检测平台B应用A162149130应用B686045应用C145132118同应用第三方软件检出数量使用环节：SBOM助力软件供应链风险治理软件物料清单（SBOM）：描述软件包依赖树的一系列元数据集合，包括组件唯一标识、供应商、版本号、组件名、版权、许可证、安全威胁等多