魏辰-网商软件供应链安全治理实践

软件供应链风险形势

• 漏洞频发：2022年应急响应次数接近100次，0day漏洞频繁出现。
• 供应链投毒事件加剧：已有多起针对企业的批量投毒案例。

漏洞应急与治理

漏洞应急处置流程

• SBOM数据来源：主要来自主机采集，涵盖全量应用、容器、物理机，每日更新数据。
• 制品类型：包括JAR、Python、Node.js等。
• 数据更新：应用变更时重新构建数据，支持Java、Node.js代码静态分析，Maven构建的应用，分析调用链路以提高准确性。
• 卡点策略：针对非标/外采应用，采用特殊策略进行管理。

持续管控

• 依赖管理：利用Maven Enforce能力进行严格控制，支持通配符和版本区间。
• 渠道收敛：减少依赖包来源，提高安全性。

后门投毒防御

静态扫描

• 语义分析：通过指定sink点进行分析。
• 黑名单关键字：使用正则表达式和黑名单关键字进行检测。
• 工具支持：使用Falco和Sysdig等工具。

动态扫描

• 时效优化：针对每天新增3万依赖包的情况，减少无效扫描，降低任务量。
• 误报优化：结合静态和动态扫描结果，以及包的发布时间、下载量等因素进行综合评估。
• 沙箱加固：通过VPC隔离、云防火墙等手段提高安全性。

应用层切面检测

• 网络请求详情：增加调用链路信息，覆盖更多触发场景。

TNPM准入方案

• 同步扫描：在同步上游时触发扫描，异步拉黑。
• 版本风险：连续多个版本存在风险时，拉黑整个包。
• 审批流程：在CI/CD阶段引入审批流程，由Node.js架构师审批。

Q&A

• 团队成员：居义和魏辰，均就职于网商银行应用安全团队，负责漏洞应急响应、软件供应链风险治理等工作。