近两年来,关于应用系统安全的话题和名词层出叠现,推陈出新。各路神仙、大咖轮番登场,用漏洞数据、攻击趋势、产品技术变化等资讯讲述着应用安全的重要性和发展方向,并将这个之前不被网络安全太为关注的小众领域,“应声”推到了信息安全时代的风口浪尖。一时间,各类理念与技术遍地开花,百家争鸣。应用系统安全正在迎接他超高速发展时期的到来。
一.应用系统安全要不要干?
“安全就是攻与防”,可谓魔高尺,道高一丈。当代码、开源组件以及第三方软件成为黑客们主要的攻击手段与途径时。其唯一的解决方案必然是——构建安全的开发体系和供应链管理体系,在软件开发的整个生命周期中的每一个环节来确保安全。
由此可见,诸如DevSecOps、SDL、安全左移、软件供应链安全、AST、RASP、ASOC等理念与技术的提出和兴起,就是顺理成章的事儿了。应用安全很重要,要干!可知易行难,理解这些理念虽然变得容易了,但到企业具体实践时却依旧步履维艰。其中任何一个产品、一项技术、一套体系真实地在企业内部落地与实施时,都需要花费大量的人力、物力和心力。抛开其他不谈,单讲一点:如何在众多的“技术专家”、“专业厂商”以及“明星企业”中选到适合企业的那一款产品,那一套方案?如若没有几周、几个月、甚至几年的场景试用、POC评比,都将无法得出答案。
二.为什么选思客云的找八哥SCA?
在众多声明可以提供软件成分分析产品的厂商中,思客云找八哥SCA简单说有如下五个特点:
1. 以庞大的数据作支撑
一款优秀的SCA产品,必须先是一个包括组件库,漏洞库,代码库“巨量数据”的信息系统。没有这些基础数据作为依托,就无法构建从识别至检索,再到关联分析,最后形成“代码供应链”分析结果的完整流程。思客云找八哥SCA系统正是拥有庞大的数据量。其目前收录了自来Github、Gitee、Maven等国内外的开源组件、开源代码库共6500万个开源组件与代码的版本,作为识别开源组件及组件依赖关系的基础数据库。同时,收录了来自CVE、CNVD、CNNVD、VulnDB等平台,约17+万条安全漏洞信息,作为检测漏洞的安全漏洞库。
找八哥SCA数据收集平台以天为频次的更新速率,更使得数据量不断持续增长,漏洞信息得以时时关注。
2. 以代码指纹为依据
SCA流程中相当重要的一环就是识别与标识开源组件。其目前最优的解决方案正是已如火如荼的SBOM(软件物料清单),它作为目前国际公认的软件供应链治理标准与方法,最重要的功能就是使SCA工具能够清晰、明确地识别开源组件和代码。
找八哥SCA可以生成完整,规范化的SBOM。并以代码指纹的方式来分析开发人员所使用的各种开源源码、模块、框架和库,识别,清点开源软件(OSS)的组件及其构成和依赖关系。快速查询的同时,兼顾了查询质量与数据容量。
3. 不停留于表面,依赖穿透
开源组件的构成不单单是开源代码,其内部同样引用了其他开源组件。这使得开源组件安全性同样受到其依赖的第三方开源组件影响。找八哥SCA扫描结果中包含其依赖开源组件的N次依赖关系图,深度剖析了依赖流程,把引用流程完完全全展示在用户眼中,让用户清晰地了解整个依赖流程的安全性。
4. 以快速响应为宗旨
开源软件安全事件处理作为应急响应的一部分,其生命线在于:响应速度。SCA产品需要在不断披露的安全漏洞信息流中,快速获取漏洞信息,并及时发布给用户,才能有效保护用户免受“漏洞暴露前72小时”高发时间的大量攻击。
找八哥SCA深知用户对SCA产品时效性的需求,故在产品架构设计,产品技术要求中就把快速收录,快速检测,快速报告,快速画出漏洞影响范围图作为产品的重要功能来研发。保证用户在开源安全漏洞暴露出来的前8小时内,就可以全面排查企业内的所有应用系统,并同时呈现一幅“漏洞影响范围图“以及一份安全处理建议方案。
5. 以与工具联动,主动阻断为抓手
DevSecOps相对于SDL重在强调工具化、自动化与敏捷性。安全任务以Golden Pipeline为主线,将一系列的自动化工具进行串联或并联工作。SCA工具作为其中重要的一环,与之集成使用。优秀的SCA工具除了能够与DevSecOps平台,CI/CD工具集成之外,自身也要能够做到与包管理工具和私库进行集成和联动,并实现主动阻断机制,形成开源组件“防火墙“。找八哥SCA除了做到与IDEA、Eclipse、VSCode等IDE工具;Jinkens等CI/CD工具集成外还做到了与Nexus远程仓库集成,能在项目拉取有漏洞的开源组件版本时进行阻断;并且在私库与外部公库拉取有漏洞的开源组件版本时进行阻断,形成双层主动阻断。
