魏辰-网商软件供应链安全治理实践

AI智能总结

软件供应链风险形势严峻，2022年应急响应近百次，投毒事件频发，存在针对企业批量投毒的案例。
漏洞排查面临挑战：依赖包发布渠道众多，投毒难防护，外部缺乏可靠情报，员工安装时拼写错误即可中招，敏感信息窃取难感知。
漏洞应急处置流程需完善，包括：
- SBOM数据获取：通过主机采集覆盖全量应用、容器、物理机，每日更新数据，支持Java、Nodejs代码静态分析，分析调用链路，支持应用发布卡点，针对非标/外采应用制定特殊策略。
- 持续管控：依赖Maven Enforce能力，支持IDE本地研发、应用发布流程，支持通配符、版本区间。
后门投毒防御策略：
- 严格准入：收敛渠道。
- 恶意包屏蔽流程：结合静态扫描（语义分析、正则、黑名单关键字）、动态扫描（Falco, Sysdig）、应用层切面检测（补充网络请求详情、调用链路信息）。
- 动态扫描时效优化：依赖包日增量30000，减少无效扫描，引入风险决策综合打分，沙箱加固（VPC隔离、云防火墙、容器定时清理、安骑士日志监控）。
- TNPM准入方案：同步上游时触发扫描，异步拉黑，连续多个版本有风险则拉黑整个包，CI/CD阶段发现引入新包需审批。