张文凯-研发体系下开源安全风险发现与治理.pdf

《张文凯-研发体系下开源安全风险发现与治理.pdf》由会员分享，可在线阅读，更多相关《张文凯-研发体系下开源安全风险发现与治理.pdf（19页珍藏版）》请在三个皮匠报告上搜索。

1、中国DevOps社区峰会 2024 上海研发体系下开源安全风险发现与治理张文凯 腾讯安全腾讯科恩实验室开发安全产品负责人。有多年基于黑白盒代码安全测试与研究经验，目前着力于开发安全产品研发与核心能力研究，聚焦于以大数据驱动下的安全算法研究与安全产品工程化落地，专注解决来源于开源组件的软件供应链安全问题。张文凯腾讯安全 开发安全产品负责人目录来自软件供应链的安全挑战1软件供应链安全与软件成分分析2软件成分分析工具引入思路3来自软件供应链安全的挑战01软件供应链安全能力建设的趋势、必要性和监管要求软件供应链安全指软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码

2、、模块和服务的安全，以及软件交付渠道和使用安全的总和。软件供应链安全发展洞察报告，云计算开源产业联盟泄密隐藏“后门”，挖掘核心敏感数据勒索重要文件无法读取、关键数据损坏木马挖矿、僵尸网络、远程命令执行劫持在更新软件时感染病毒有没有从根本上解决安全潜在风险？行业监管与政策关键信息基础设施安全保护条例关于供应链安全风险提示关于规范金融业开源技术应用与发展的意见银行保险机构信息科技外包风险监督办法金融业开源软件应用 管理指南软件供应链安全趋势 国家级攻防演练2022-2023防守单位失陷案例60%+与软件供应链安全相关；国家级攻防演练Top5攻击技战法；两年持续供应链安全专项持续加大力度，是国家关注

3、的重点；建设必要性及价值 建立体系规范，以标准、合规、安全的组件提供给各个业务方；安全左移，更早的发现和修复安全漏洞；准入管理，从源头把控安全，从源头摸清楚供需、安全和管理现状；软件供应链安全如何定义？开源组件治理软件供应链安全检查投毒/后门检查未知漏洞检查供应商提供的制品成分未知，解不开包、不知道其中有什么成分开发的代码中软件成分未知，有意无意的引入未知组件开源组件漏洞风险未知开源组件投毒风险未知开源组件许可证风险未知如何发现开发中的敏感信息信创替换的软件是否是安全的是否能对供应商软件进行检测是否做到全天候监测企业资产威胁情报信息软件供应链安全：开源组件风险案例2020 年12月，美国企业和

4、政府网络突遭“太阳风暴”攻击。黑客利用太阳风公司（SolarWinds）的网管软件漏洞，攻陷了多个美国联邦机构及财富 500 强企业网络。2020 年 12 月 13 日，美国政府确认国务院、五角大楼、国土安全部、商务部、财政部、国家核安全委员会等多个政府部门遭入 侵。该事 件波 及全 球多个 国家 和地 区的18000 多个用户，被认为是“史上最严重”的供应链攻击。“太阳风暴”攻击2021年12月，开源组件Log4j被发现两个相关漏洞，分别为任意代码执行漏洞和拒绝服务攻击漏洞，攻击者可以通过构造特殊的请求进行任意代码执行，以达到控制服务器、影响服务器执行的目的。该漏洞已影响超6万个开源软件，

5、涉及相关版本软件包32万余个,被认为是“2021年最重要的安全威胁之一”Apache Log4j2 漏洞2022年3 月 30 日，国家信息安全漏洞共享平台（CNVD）收录 Spring 框架远程命令执行漏洞（CNVD-2022-23942）。攻击者利用该漏洞，可在未授权的情况下远程执行命令，该漏洞被称为“核弹级”漏洞。使用 JDK9 及以上版本皆有可能受到影响。Spring 框架漏洞开源组件许可证风险案例：2021 年 4 月 30 日，罗盒公司状告风灵公司侵权获赔 50 万元，同时要求风灵公司停止侵权行为。在该案件中原告罗盒公司，独立开发“罗盒(Virtual App)插件化框架虚拟引擎系

6、统 V1.0”（简称VirtualApp V1.0），在2016年引入GPL3.0 许可证，于2017年取得计算机软件著作权登记证书，且声明用于商业用途请购买商业授权。2018年原告发现名为“点心桌面”的软件使用了 VirtualApp V1.0 的代码，经过源码分析对比，发现两者之间高度相似，遂起诉被告福建风灵公司。经法院审判被告赔偿原告为制止侵权行为而支出的合理费用50万元。此次判决是中国首个明确 GPL3.0 许可证具有法律效力的案例。2021年12月，抖音海外版 TikTok 上线了一款名为 TikTok Live Studio 的 APP，但不久其下载页面就被删除。TikTok 官方