信息安全-应用安全-蚂蚁集团软件供应链安全实践

这篇具有很好参考价值的文章主要介绍了信息安全-应用安全-蚂蚁集团软件供应链安全实践。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

8月10日,由悬镜安全主办、以“开源的力量”为主题的DSS 2023数字供应链安全大会在北京·国家会议中心隆重召开。蚂蚁集团网络安全副总经理程岩出席并发表了《蚂蚁集团软件供应链安全实践》主题演讲。

信息安全-应用安全-蚂蚁集团软件供应链安全实践,供应链安全,软件供应链,安全体系,供应链安全实践,蚂蚁安全

图1 蚂蚁集团网络安全副总经理程岩发表主题演讲

以下为演讲实录:

尊敬的各位领导,各位嘉宾,谢谢子芽给我们这样的宝贵机会来分享蚂蚁集团在软件供应链安全方面的实践。我叫程岩,花名“小哥”。这次我的主题分享会从四个方面展开。

一、软件供应链面临的风险与挑战

供应链面临哪些威胁?第一是代码漏洞,第二是供应链恶意投毒,第三是合规断供问题,这次重点讲前两者。代码漏洞和恶意投毒的问题犹如冰山,已经被曝露的漏洞或事件只是海面上的冰山一角,冰山之下还有多少?没有人能准确回答。同样为什么供应链安全话题如此火热和被大家所重视,也是因为这类威胁的攻击门槛低、攻击方式隐蔽、影响范围大而且危害大。

为了确保供应链安全风险可控,我们会面临怎样的挑战?

第一个挑战,生产源头不可控。无论我们自己的安全意识如何,任何一家企业、院校、监管单位、安全机构都无法百分之百保证开源软件的安全性。

第二个挑战,稳定性不可靠。由于生产源头不可控,而且开源是非常开放的形式,无法保证开发的软件新版本包括国内外其他开源软件百分之百向下兼容。

第三个挑战,复杂的实际场景。不同的应用对同一个组件的调用方法、传入参数是否外部可控等复杂多样,当爆发漏洞时,难以确定风险的真实影响面,无法确定真正需升级的应用系统,只能选择伤筋动骨地按版本号一刀切式的全部升级。

第四个挑战,爆炸式的依赖。直接依赖、间接依赖和次间接依赖的存在,导致某一组件爆发漏洞,往往随之引发放大效应,波及范围广,且非常隐秘。

上述风险和挑战的存在,使得不管是企业还是整个国家层面,对于供应链安全建设的要求和期待,不仅要面向合规,更要面向实战。

二、集团软件供应链安全目标思考

在如此严峻的安全形势下,面对众多不可控的情况和混沌状态,思考金融类企业安全建设前首先需要先明确安全目标,以终为始,确定安全建设终态的效果是什么。蚂蚁集团对供应链安全建设的终态分为两个方向:

2.1 让安全满意

先找准服务对象,即让安全满意,没有安全就没有用户放心把钱交给金融类企业。如何“让安全满意”,我们认为有四个方向或者称四种状态:

第一,第一时间获悉投毒、漏洞、断供、合规等方面的情报,并且在真正的攻击来临之前快速有效止血。

第二,止血只能解决当下问题,不能解决长期问题,对于高安全型企业而言,要求止血更要求彻底修复。与此同时,看不见、灯下黑、没人养的系统所存在的安全问题也能得到解决。

第三,已知问题不再重复发生。从实践来看,大多数企业往往在开发过程中仍会引入过去使用过且存在风险的镜像或者组件,大部分安全人员也并不清楚哪些组件是较为安全的。问题解决是可喜的,但相同问题再次出现,可能意味着“老树开新花”,存在巨大风险。

第四,无惧未知攻击。当0Day漏洞爆发时可以快速响应和修复,甚至做到提前免疫。

2.2 让业务爽

安全不能只是在管理和指挥业务。在一家企业里,如果业务出现问题无法发展,安全就没有生存余地,安全目的其实是帮助业务成功,让业务安全稳定地发展壮大。所以当安全的核心诉求得到一定满足以后,接下来要思考的问题是如何让业务满意或者让业务爽。怎么理解“爽”?有以下几点:

  1. 安全要给业务足够长的修复时间。业务不希望熬夜加班来修复漏洞,此外,因为金融系统较为复杂,一旦出现问题会影响支付行为,需要较长的修复发布时间。
  2. 安全要让业务低成本完成修复升级发布。发布工作要经历非常重要和稳定的周期,尤其是非常关键核心系统,往往需要2-3天才能保证全链路无损发布。如果每次漏洞修复要投入2-3天的时间精力,这对于业务而言,修复成本是不可理解的。
  3. 安全要帮助修复。研发往往会有诉求,希望安全帮助修复他代码中存在的漏洞。
  4. 安全要保姆式推荐。业务往往希望安全能如保姆一般在旁指导,在开发过程中就推荐或者直接帮助选择安全版本的组件。

信息安全-应用安全-蚂蚁集团软件供应链安全实践,供应链安全,软件供应链,安全体系,供应链安全实践,蚂蚁安全

图2 程岩分享蚂蚁集团的供应链安全实践经验和成果

三、蚂蚁集团软件供应链安全体系发展

为了达到上述终态效果,蚂蚁经历了三个阶段来推进相关建设。

1.0阶段:十万火急

基于我多年来在甲方工作的经历,我发现每个甲方在遇到安全问题时都认为是十万火急的。在这个阶段,我们将安全活动分为应急态、研发态、运营态。

应急态包含止血策略WAF、排查策略SAST和DAST以及修复策略手工修复和紧急发布。

研发态&运行态是为了防止0Day复现,包含利用SAST和DAST工具进行巡检查漏补缺以及通过SAST和IAST工具进行安全卡点避免再犯。

信息安全-应用安全-蚂蚁集团软件供应链安全实践,供应链安全,软件供应链,安全体系,供应链安全实践,蚂蚁安全

图3 蚂蚁集团软件供应链安全体系建设1.0阶段

2.0阶段:游刃有余

1.0阶段必然无法实现“让安全满意”“让业务爽”的效果,所以我们进入2.0阶段:让安全和研发可以放心、不着急地将安全漏洞解决,所以称为“游刃有余”。在这个阶段,我们同样将安全活动分为应急态、研发态、运营态。

相较于1.0阶段,2.0阶段的应急态补充了大量工作,比如在止血策略中补充了RASP和miniRASP,其中miniRASP是针对短期运行的计算任务所采取的轻量级注入方式;同时在排查策略中补充了SCA,用于梳理间接依赖和链路画像。我们认为只有支持间接依赖检测的SCA才是真正的SCA。所以1.0阶段,我们SCA这个方块里标注的只是SAST。

值得一提的是,2.0阶段,我们在应急修复层面实现了无痛升级。无痛修复首先需要知道不受到漏洞威胁的组件版本,以及为了防止兼容性问题,需要确认安全修复版本与存在漏洞版本相比,在组件代码层面有哪些修改,是否夹带“私货”或大幅修改原有组件代码逻辑,且这个“不兼容”修改是否影响业务系统的代码链路。一旦发现安全修复版本的代码会影响业务系统链路,便可判断系统不能自动升级,需要研发人工介入来观察修复稳定性。当通过上述方式确保漏洞修复不会影响业务系统链路时,便可以帮助业务部门进行自动升级,会帮助研发人员修改代码,会进行自动化发布和回归测试以及线上监控系统观察,研发人员只需要接收报警信息后快速响应和处置即可,所以称为无痛升级。

信息安全-应用安全-蚂蚁集团软件供应链安全实践,供应链安全,软件供应链,安全体系,供应链安全实践,蚂蚁安全

图4 蚂蚁集团软件供应链安全体系建设2.0阶段

3.0阶段:持续可信

相较于2.0阶段,3.0阶段是为了实现对未知威胁的免疫。何谓可信?是明确应用系统可执行的进程和行为,即便应用本身存在漏洞或被投毒。目前我们仍在对3.0阶段进行持续打磨,争取实现真正意义上的完全可信。

信息安全-应用安全-蚂蚁集团软件供应链安全实践,供应链安全,软件供应链,安全体系,供应链安全实践,蚂蚁安全

图5 蚂蚁集团软件供应链安全体系建设3.0阶段

四、蚂蚁集团软件供应链安全实践分享

接下来分享我们在软件供应链安全实践方面的三个有意思的经验和成果,希望能给大家启发。

  • 1.蚂蚁集团软件供应链组件全生命周期管控流程

我们公司基本都是通过自研的方式来开发系统,所以面临的安全问题主要集中在组件的供应链安全威胁上。在整个管控流程中,有个重要的环节我们称之为“版本保鲜”,即当研发人员尝试引入了一个低版本或者存在安全问题的组件时,因在制品库层面进行组件版本的保鲜控制,这个低版本根本无法被构建时候引入成功,如此从源头管控组件的安全。

信息安全-应用安全-蚂蚁集团软件供应链安全实践,供应链安全,软件供应链,安全体系,供应链安全实践,蚂蚁安全

图6 蚂蚁集团软件供应链组件全生命周期管控流程

  • 2.软件供应链组件辅助修复技术

业务系统在安全卡点之后,自动辅助研发人员进行修复,其核心在于对蚂蚁集团常用的组件进行扫描检测和修改引入的版本,并通过PR的方式告知相关研发人员,由他们来审查该安全修复是否对业务产生影响,从而实现业务稳定性和安全性的平衡。

信息安全-应用安全-蚂蚁集团软件供应链安全实践,供应链安全,软件供应链,安全体系,供应链安全实践,蚂蚁安全

图7 蚂蚁集团软件供应链组件辅助修复技术应用流程

3.应用可信解决方案

我们认为当下真正可信的解决方案应该是可以在企业内部实现大规模、可持续落地的安全解决方案,而非华丽的银弹。如图所示,首先在我们推出的安全平行切面底座上配置的各类行为规则,然后应用可信解决方案的核心是可信策略运营,即通过持续轻量级的运营,让应用、容器、网络行为能够被持续地监测和风险收敛,并且不影响其正常的功能。

信息安全-应用安全-蚂蚁集团软件供应链安全实践,供应链安全,软件供应链,安全体系,供应链安全实践,蚂蚁安全

图8 蚂蚁集团应用可信解决方案

时间关系,最后用一句话来结束本次分享,同样也是我非常喜欢的我们蚂蚁集团愿景中的一句话,“为世界带来微小而美好的改变”。希望今天我的分享能够给大家带来一些启发。谢谢!文章来源地址https://www.toymoban.com/news/detail-695369.html

到了这里,关于信息安全-应用安全-蚂蚁集团软件供应链安全实践的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 全球软件供应链安全指南和法规

    供应链安全继续在网络安全领域受到重点关注,这是有充分理由的:SolarWinds、Log4j、Microsoft 和 Okta 软件供应链攻击等事件继续影响领先的专有软件供应商以及广泛使用的开源软件软件组件。 这种担忧是全球性的。随着各国政府寻求降低软件供应链攻击的风险,世界各地的法

    2024年02月02日
    浏览(35)
  • 封装阶段的软件供应链安全威胁

    随着软件开发沿着软件供应链生命周期进行,软件包阶段成为一个关键节点,将源代码转换为准备分发的可执行工件。然而,这个关键阶段也无法避免漏洞,使其成为恶意行为者寻求破坏软件完整性和安全性的主要目标。这篇博文深入研究了此阶段可能出现的普遍威胁,并概

    2024年03月15日
    浏览(51)
  • 软件供应链安全:寻找最薄弱的环节

    在当今的数字时代,软件占据主导地位,成为全球组织业务和创新的支柱。它是差异化、项目效率、成本降低和竞争力背后的驱动力。软件决定了企业如何运营、管理与客户、员工和合作伙伴的关系,以及充分利用他们的数据。 挑战在于,当今的大多数软件都不是从头开始开

    2024年04月17日
    浏览(50)
  • 企业应如何做好软件供应链安全管理?

    随着软件供应链攻击日益普遍,Gartner 将其列为2022 年的第二大威胁。Gartner 预测,到 2025 年,全球 45% 的组织将遭受一次或多次软件供应链攻击,是2021年的3倍。这些攻击一旦成功,将给企业带来毁灭性打击,因此如何做好软件供应链管理成为企业关注的重要课题。 目前国内

    2024年02月16日
    浏览(48)
  • 文献阅读笔记 # 开源软件供应链安全研究综述

    纪守领,王琴应,陈安莹,赵彬彬,叶童,张旭鸿,吴敬征,李昀,尹建伟,武延军.开源软件供应链安全研究综述.软件学报. http://www.jos.org.cn/1000-9825/6717.htm 主要作者来自浙江大学、中科院软件所、华为 资源: pdf 本文总结了开源软件供应链的关键环节, 基于近10年的攻击事件总结了开源软

    2024年02月12日
    浏览(46)
  • Gartner发布降低软件供应链安全风险指南

    软件供应链攻击已呈三位数增长,但很少有组织采取措施评估这些复杂攻击的风险。这项研究提供了安全和风险管理领导者可以用来检测和预防攻击并保护其组织的三种实践。 主要发现 尽管软件供应链攻击急剧增加,但安全评估并未作为供应商风险管理或采购活动的一部分

    2024年02月04日
    浏览(49)
  • 一文读懂什么是软件供应链安全

    今天的大部分软件并不是完全从头进行开发设计的。相反,现在的开发人员频繁的依赖一系列第三方组件来创建他们的应用程序。通过使用预构建的库,开发人员不需要重新发明轮子。他们可以使用已经存在的工具,花更多的时间在专有代码上。这些工具有助于区分他们的软

    2024年02月05日
    浏览(49)
  • SOFAStack软件供应链安全产品解析——SCA软件成分分析

    近年来,软件供应链安全相关攻击事件呈快速增长态势,造成的危害也越来越严重,为了保障软件供应链安全,各行业主管单位也出台了诸多政策及技术标准。基于内部多年的实践,蚂蚁数科金融级云原生PaaS平台SOFAStack发布完整的软件供应链安全产品及解决方案,包括静态代

    2024年02月04日
    浏览(45)
  • 龙腾荆楚 | 软件供应链安全检测中心落地襄阳

    1月16日, 襄阳市东津新区“园区提质、企业满园”行动暨2024年东津云谷首月重大项目集中签约活动圆满完成 ,开源网安城市级项目再下一城,分别与襄阳市政府、高校、国投签订战略合作协议,推动荆楚地区数字政府、数字经济、数字社会、数字生态协同高质量发展。 襄阳

    2024年01月20日
    浏览(55)
  • 开源时代:极狐GitLab如何保证软件供应链安全

    开源吞噬软件 “软件吞噬世界,开源吞噬软件”已经不是一句玩笑话了。根据Synopsys发布的《2021年开源安全和风险分析报告》显示,98%的样本代码库中包含开源代码,75%的样本代码库是由开源代码组成的。上述结果是通过对1500+商业代码库进行分析得出的,开源不仅存在于大

    2024年02月03日
    浏览(46)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包