覃阳青-数字化转型下的软件供应链安全及 DevSecOps 实践.pdf

1、数字化转型下的软件供应链安全及DevSecOps实践覃阳青 开发安全负责人多年专注于金融行业的开发安全实践，现在安信证券负责软件安全开发方案规划与落地和软件供应链&开源软件治理的探索，对金融行业的软件安全开发方面具有独到的见解。现状与痛点软件开发安全软件供应链治理开源软件治理厂商直供成熟产品、定制化开发一体机、软件成品、源代码合作开发人员驻场开发、各自负责开发部分开发商的开发过程管理、内部的开发流程管理内部自研瀑布模型、敏捷开发建设模式系统保障级别高监管背景管理对象复杂数据价值高系统实时性、可用性、稳定性和业务连续性要求极高、可用性事件零容忍、5分钟红线数字化转型与监管或关联部门系统对接监管政

2、策变化信息系统来自不同的厂商，系统环境多样、技术栈丰富、技术债不可知开发模式多样用户数据量庞大数据体现经济价值高，泄露造成的影响面广数字化特点开源组件占60%+据不完全统计，通常一个应用的第三方组件占应用的60%80%左右业务代码38%构建脚本0.5%配置文件1%其他0.5%客户自己的业务代码约占整个项目的38%程序运行时相对应的配置文件约占1%项目构建、打包等脚本程序其他附加的程序资源开源组件业务代码配置文件构建监本其他u 基本所有软件都使用开源组件，且在系统代码中占比高u 开源软件种类多、版本多u 开源软件资产信息不清晰复杂性依赖性冲突性010203u 开源软件安全风险获取不及时u 安全漏

3、洞整改依赖上游更新升级u 升级变更后的稳定性不保障u 安全和研发价值目标不一致u 系统使用的开源版本难一致u 评估和准入流程不一致04风险性u 近年安全漏洞频发u 特殊场景使用造成的功能稳定性问题u 断供/停更风险缺乏安全规范和组织未制定和发布安全管理规范未组建安全管理职能团队和专业的安全技术人员未按要求实施安全开发标准没有安全检测工具和环境为赶进度不执行安全开发要求安全交付应付式未按要求提供安全交付材料安全交付材料质量差交付后的安全支撑不足没有主动监测产品的安全风险出现安全风险未及时pilu发现安全风险不及时响应处置软件供应商01020304监管规范等保2.0信创改造软件开发安全自研+合作开

4、发外购软件安全治理外购软件+软件供应商开源软件治理开源组件+开源代码+开源系统+开源工具等管理体系治理流程文化建设流水线（DevSecOps）非流水线（SDL）外购（软件供应链治理）技术培训流程培训制度宣贯IDESASTSCAIASTDASTMAST基线加固基线扫描容器安全APP加固主机漏扫数字签名安全漏洞库安全知识库开源组件库安全组件库扫描与加固工具支撑工具度量/评价体系安全需求安全设计安全编码安全验证安全发布 项目需求评审 版本需求评审 架构安全设计 功能安全设计 代码安全检查 组件安全检查 IDE自查 代码安全门禁 组件安全门禁 安全设计门禁 安全需求测试 灰盒测试 渗透测试 应用安全门

5、禁 基线检查 系统漏扫 上线/发布审批DevOps&SDL需求管理平台漏洞管理平台度量平台支持平台开发安全管理平台中层技术与流程规范中层技术与流程规范中层技术与流程规范中层技术与流程规范中层技术与流程规范研发上线测试运维下线组织级项目级管理规范信息安全管理办法数据安全管理办法软件研发管理办法技术规范信息安全技术规范客户数据安全管理规范数据分类分级规范安全配置基线安全需求管理规范安全设计规范安全编码规范代码质量规约安全日志管理规范安全测试指南移动应用安全测试系统上线流程规范安全工具操作规范安全巡检规范安全监控规范系统下线流程规范组织保障(第三方)人员安全管理细则安全培训管理细则技术风险评估管理细

6、则供应商安全管理办法 01 02 03 04应用安全外部形式安全事件影响安全漏洞产生原因安全开发流程安全活动及要求安全卡点设置安全规范制度介绍安全质量红线安全设计安全编码安全测试开源软件安全使用安全工具使用指引定期+不定期各项安全考试安全比赛安全社区安全意识培训流程规范培训安全技术培训安全考试与活动拉取制品APP安全扫描APP安全加固APP签名安全检测UI测试应用安全门禁部署API自动化UI自动化安全验收测试需求申请单元测试代码扫描打包制品上传部署编译构建代码安全扫描组件安全扫描IDE代码安全扫描组件入库检测安全需求评估架构安全评审详细设计威胁建模安全编码指南编码开发环境搭建项目规划架构设计A