中国联通软件供应链安全实践方案 陈曙光产品经理 陈曙光 联通软研院产品经理 拥有超过十年的软件全流程测试实战经验,积累了深厚的专业知识与丰富的实践经 验,了解安全测试的各种方法论和技术工具,对软件安全漏洞挖掘、风险分析及防控策略设计等方面具备独到见解和高效执行力,发表数篇专利,参与2个行业标准,多个企业标准制定。并牵头完成中国联通软件供应链安全管理平台建设,利用三大举措,变中求进,提升软件交付效率及安全性。 01安全背景 目02产品定位 contents 录03产品方案 04应用成效 PART01 安全背景 组件漏洞风险 软件供应链安全事件频发,“核弹级”第三方组件漏洞的影响面和危害大 2020年12月,美国企业和政府网络突遭“太阳风暴”攻击。黑客利用太阳风公司(SolarWinds)的网管软件漏洞,攻陷了多个美国联邦机构及财富500强企业网络。2020年12月13日,美国政府确认国务院、五角大楼、国土安全部、商务部、财政部、国家核安全委员会等多个政府部门遭入侵。该事件波及全球多个国家和地区的18000多个用户,被认为是“史上最严重”的供应链攻击。 2021年12月,Apache开源组件Log4j被发现两个相关漏洞,分别为任意代码执行漏洞和拒绝服务攻击漏洞,攻击者可以通过构造特殊的请求进行任意代码执行,以达到控制服务器、影响服务器执行的目的。该漏洞已影响超6万个开源软件,涉及相关版本软件包32万余个,被认为是“2021年最重要的安全威胁之一” “太阳风暴”攻击 ApacheLog4j2漏洞 Realtek的WiFiSDK漏洞Spring框架漏洞 2021年8月,中国台湾芯片厂商Realtek发布安全公告称在其软件开发套件和WiFi模块中发现了4个安全漏洞。、攻击者可利用该漏洞绕过身份验证,并以最高权限运行恶意代码,有效接管设备。本次暴出漏洞的芯片至少有65家供应商在使用,生产出的设备数量超过十万台。 2022年3月30日,国家信息安全漏洞共享平台 (CNVD)收录Spring框架远程命令执行漏洞 (CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令,该漏洞被称为“核弹级”漏洞。使用JDK9及以上版本皆有可能受到影响。 自适应威胁免疫风险 沈昌祥院士指出:通过主动免疫可信计算打造安全可信网络产业生态体系,在计算运算的同时进行安全防护,全程管控、不被干扰,使计算结果总是与预期保持一致。将可信计算技术与访问控制相融合,能及时识别“自己”和“非己”成份,禁止未授权行为,使攻击者无法利用缺陷和漏洞对系统进行非法操作,最终达到使攻击者“进不去、拿不到、看不懂、改不了、瘫不成、赖不掉”的效果。 行业对标: 悬镜 阿里 代码审计 攻击防御 SCA分析 漏洞挖掘 攻击溯源 典型应用场景: 行业挑战 如何识别软件引入哪些开源组件及定位组件漏洞 据统计,98%的软件开发公司甚至不知道自己软件产品到底使用了哪些第三库组件。大部分软件开发者在引入第三方库的时候,并没有关注引入组件是否存在安全隐患或者缺陷。 如何让开发人员在编码过程中重视安全需求 敏捷迭代中工期紧、任务重,软件开发人员将软件功能视为头等大事,对软件安全架构、安全防护措施认识不够,很少从“攻击者”的角度思考软件安全问题。 如何在研发过程中避免架构腐化,及时纠偏 软件更新演化频繁,实现与设计架构往往不可避免出现偏离导致腐化,复杂软件系统的架构腐化将影响各类开发维护活动,亟需从全生命周期监控架构,及时感知、定位、修复问题,改善架构质量,提升研发效能。 如何在软件生命全周期内及时发现安全威胁 传统的封堵查杀等安全手段难以应对未知安全威胁的攻击,也不可避免出现封堵查杀不完全的情况,对0-Day等安全漏洞威胁,需要实时的自适应威胁免疫技术。 PART02 产品定位 产品定位 威胁建模 本地安全测试 开源治理 风险发现 架构一致性 检测响应 DevSecOps流 程 AI安全知识库 IDE安全检测组件 组件分析与漏洞检测 源码治理 架构分析 自适应威胁免疫 规则安全配置中心 DevSecOps全流程安全赋能平台 以SCA核心检测技术为驱动力,支持无感接入DevOps流程,从安全需求到运行监控、管理闭环多维度治理威胁。结合行业敏捷安全落地实践经验和软件供应链安全研究成果,探索AI人工智能技术,形成独特的软件供应链安全管理体系 软件供应链安全服务 安全开发实训 红蓝对抗/渗透测试 开源治理咨询 DevSecOps/SDL咨询 DevOps流程计划编码构建验证发布检测响应改进 安全扫描 安全测试 安全报告 质量扫描 问题定级 质量报告 用例审查 数据安全验证 脚本分析 漏洞处理 执行过程监测 进入研发 进入研发 触发构建 提交预发布 AI安全知识库 研发人员 提交代码 组件引用 第三方组件 组件仓库 门禁 门禁 门禁 门禁 构建 持续集成持续交付自动部署 方案设计 架构设计UML图 流程管理 项目经理 本地IDE安全插件 实时监控 提交测试 测试 UI测试功能测试性能测试 集成测试 预发布 准生产环境 发布检测 安全威胁检测实时保护技术 威胁情报 上线运营 生产环境 提交发布 DevOps整合 计划 编码 构建 验证 发布 检测 响应 改进 测试人员 运维人员 运维人员 需求分析 产品规划 需求建模需求输出 代码仓库 版本控制代码审查分支管理 自动化监测 仓库审查访问控制自动化构建 应用包审查组件审查风险处理组件库 业务创新点-整体 中国联通DevSecOps实践不仅是一场技术革命,更是一场治理变革,是对研发生产阶段的全方位、系统性重塑。坚持高目标牵引,通过“三大创新”点驱动,形成安全、敏捷研发交付的有机整合 三大创新 需求 传统需求设计(无安全性分析)→AI交互式潜在漏洞分析预防 研发 传统分散、先研发后修复→整体统一、研发过程中预防避免 生产 传统上线后漏洞攻击再修复→上线前安准门禁、上线后漏洞防护 有机整合 Dev/OpsTeam 自动化 安全 传统安全防护,强调管控,一切研发生产活动为安全让路,DevSecOps实践既要安全可信,也要高效敏捷 PART03 产品方案 方案一:安全需求-AI打造全场景解决方案(1/2) 自需求阶段便启动安全预防策略,借助多样化交互方式(包含问答、文档录入等),智能化自动化处理,自动生成安全需求和安全测试方案,弥补需求安全预防分析的空缺,同时指导并把控团队进行安全测试工作 服务层 心功能 知识库 自动安全需求分析 核 自动安全测试方案 自动安全设计 展示层 OpenAPI WEBUI 场景模拟Web应用场景客户端场景 场景库 安全编码样例库 安全需求库 安全测试用例库 安全设计库 威胁资源库 网络与通信场景基础功能场景业务场景 基础层 项目管理 角色管理 组织管理 访问控制 用户管理 引擎层 测试引擎 推理引擎 知识库引擎 六库融合数据安全系统部署审计安全应用安全客户端安全 大语言模型(LargeLanguageModel) 网络与通信安全 需求自动化建模,智能识别威胁给出处置建议,有效避免越权、注入攻击等安全威胁 方案一:安全需求-核心技术(2/2) 以智能场景模块为支撑,实现问答式场景轻松输入。通过智能场景需求转换模块,实现安全需求分析,产出项目安全需求清单。通过智能设计与智能测试模块,生成安全设计和安全测试方案。安全需求和安全设计能够提升开发团队安全编码效率和效果,安全测试方案指导质控团队安全测试。 输入 智能场景模块 项目网络架构场景项目应用结构场景项目业务场景 输出效用 指导质控团队安全测试 指导开发团队安全编码 智能测试模块 安全测试规范 安全测试资源库 智能设计模块 架构规范 开发框架 安全设计规范 安全设计资源库 智能场景需求转换模块 安全需求库 安全合规库 威胁资源库 场景关联分析技术 场景安全基线 安全需求基线 项目安全需求清单 安全测试 安全设计 方案 方案二:安全研发-编码全过程安全可控(1/2) 研读校对国外研发物料分析技术,邀请专家共襄实践专题讨论会,自主研发静态代码质量检测与软件成分分析能力,进行源码治理与开源组件治理,实现研发编码可信可控,填补研发安全性分析预防空白 软件成分分析 质量检测 供应链场景管理 服务层应用包危险审查 编码实现分析 二进制成分分析 资产分析与管理 组件风险管理漏洞风险管理 许可证风险管理 规则配置与管理组件库及漏洞库 组件版本基线组件库 漏洞黑名单 漏洞白名单 漏洞库 统一配置 规范配置 安全配置项目配置 质量分析 质量扫描 质量库质量修复 安全分析 安全扫描 安全测试安全报告 引擎层 基础层 用户管理访问控制组织管理角色管理项目管理 展示层WEBUIOpenAPI本地化IDE插件 联通云 基于代码成分分析,公安、架构联合开展专题整改,及时发现及闭环解决包括Log4j、Spring等研发安全威胁 方案二:安全研发-核心技术(2/2) 基于大语言模型(LLM)的物料许可证检测、安全扫描引擎、多语言代码依赖解析技术,提供一键静扫描能力并提供本地开发分析插件,精准、实时。开发过程安全防护,实现统一治理,安全研发,高效敏捷 物料许可证检测技术 扫描结果评估 静态代码分析 许可证期限标识 模型构建 实体标记 检查源代码的语 代码安全扫描技术 代码加固 许可证库 预处理 法和结构调用关系、控制流、数据流、代码依赖图 模拟环境/运行时环境 漏洞修复与代码加固 权力与义务推理 语法分析观点分析 官方许可证定义许可证 引用许可证 内联许可证内联许可证 输入 说明文档 自 不兼容测试 兼容不兼容 软件仓库 Git仓库 设计文档 分析数据 开放Commit级演化依赖 开放态隐式依赖 开放态显式依赖 设计态依赖约束 路径 源代码变更历史 多语言代码依赖解决技术 多语言可扩展的代码依赖ENRE模型 LSPLSIF模型 依赖模型转换 三方工具模型 端 运行态终 动态依赖中间应 存储用 符号列表展示 代码块折叠 符号声明跳转 符合自定义跳转 类型生命跳转 IDE 运行输出 自然语言 日志处理 ADL模块解析 符号模块 搜索摘要 绑定构建 控制变更 流数文件 据流识别 分析增量 现场结果 恢复合并 符号引用查找 插件 Intellij VSCode插件 生成 全量分析增量分析 方案三:安全生产-安全合规检查,筑牢防线(1/2) 资产风险管理 资产风险管理 资产管理 漏洞管理 任务管理 报表管理 系统管理 资产风险检查 资产风险检查工具 资产梳理 Web漏洞 主机漏洞 配置核查 弱口令 国产化 虚拟化 API 重大保障 Nday 资产与风险库 资产数据存储 资产指纹库漏洞知识库基线标准库 操作系统 设备类型/品牌CDN 服务端口 应用组件CMS IP归属地 Web框架 ...... 自定义漏洞插件 第三方漏洞库自定义知识库 自研POC 自定义POC ...... 操作系统 网络设备虚拟化设备 数据库 中间件 ...... 网络设备安全设备操作系统数据库中间件虚拟化 专项检查工具 常规检查工具 资管 ︑ 合规 ︑ 漏扫一体化 ︵行业首创 ︶ 提供基于资产视角的Web漏洞、服务漏洞、基线合规全场景安全检查,发布上线进行安全质量合规性检查,构筑DevSecOps体系最后一道防线 数字化安全平台 资产风险分析 资产重要性分析 漏洞风险评估 生产流水线发布100%安全准入拦截,上线安全问题零放过 方案三:安全生产-核心技术(2/2) 快速晋级、安全可信的统一制品管理,流水线化作业无缝衔接安全准入流程,门禁级阻拦,杜绝一切“带伤上线” 融合xray扫描技术 安全机制妥当地融入DevOps渠道中 智能优先级划分和适用性及上下文分析 增 强 Dev 实现