海云安SCA平台迎来新升级 助力企业全面透视开源组件安全风险
本月初,最受欢迎的开源轻量级 Java 框架 Spring 被曝存在高危的远程控制0Day漏洞,这一事件让开源安全再次引发了IT行业的讨论和关注。自SolarWinds太阳风黑客攻击事件和Apache log4j漏洞事件爆发后,开源软件供应链安全的话题热度持续走高的同时,也为网络安全市场吹来了新的风向。
安全419观察到,随着开源风险的持续扩大,SCA(Software Composition Analysis)软件成分分析技术正在得到更广泛的应用。业内许多专注软件开发安全赛道的安全厂商纷纷推出了旗下的SCA开源代码安全检测产品,以期在SCA产品需求爆发式增长的市场中抢占高地。
近日我们得知,安全419的老朋友海云安也即将升级自家的SCA开源组件安全检测分析平台。作为一家多年来专注于代码安全研究的安全厂商,海云安对SCA的未来发展趋势有何看法?他们即将升级的SCA平台有何优势和亮点?
就此话题,我们连线了海云安SCA平台负责人齐博士,邀请他结合自身在开源安全风险治理方面的实践和心得进行了分享,并就自家的这一SCA平台的产品情况进行了简单介绍。
海云安为什么会选择这样一个时机升级SCA产品?
齐博士告诉我们,当前开源软件的整体安全形势不容乐观,随着开源组件的不断增多,大量的第三方开源组件被放到产品中,导致软件供应链变得越来越复杂。
在近两年来爆发的各类开源软件安全事件中,如SolarWinds事件中其旗下被黑客在源码中植入后门的Orion基础设施管理平台、Apache Log4j漏洞事件中Apache Log4j日志记录组件等等,这些事实上都是软件开发人员日常会使用到的开源组件,也就是说,风险事实上就在我们身边。
开源组件也是程序,每个程序既然是人写的,就不可避免会导致一些漏洞和错误,最近的Spring框架远程命令执行漏洞也是一个鲜明的例子。
除了漏洞带来的安全风险外,开源许可证的安全隐患也呈急剧上升趋势。据新思科技(Synopsys)发布的《开源安全和风险分析》报告统计,当前65%的代码库都存在许可证冲突。
由于开源软件之间直接引用和间接引用的关联依赖关系非常复杂,一旦滥用未经商用允许的开源组件,势必会给软件合规带来诸多挑战。
作为一家专业的开发安全厂商,海云安在服务用户的过程中发现,许多用户会更加关注自身程序编码安全本身的风险,也为之采购了大量的AST工具来解决编码过程中的安全问题。但在另一个层面,由开源软件带来的外在风险却并没有得到足够的重视。
“在过去,海云安在做白盒的源代码检测工具时,是将SCA产品的部分功能打包进去,作为一个功能组件来为用户提供开源风险感知能力。但在开源组件安全风险急剧放大的当下,我们发现它已不能完全满足用户在开源安全治理方面的需求,因此海云安在该功能的基础上进行了一个较大的升级,将其形成了一个独立的开源组件安全检测分析平台。来为用户独立的解决开源组件安全风险识别和发现方面的工作。”齐博士谈到。
海云安的SCA治理解决方案有何优势?
据其介绍,海云安开源组件安全检测平台是一款集开源组件识别与安全管控于一体的软件成分分析与管理系统,基于B/S架构,采用自主研发的开源自建分析引擎为用户提供开源组件的发现、知识产权风险分析、漏洞告警及管理的服务。
简单来说,该平台能够帮助用户清晰得检测并查看到当前用了哪些组件、有什么漏洞、存在哪些许可证风险,直观的统计各种开源组件的风险分布、许可证的风险分布,以及相关的高中低危漏洞的分布,帮助开发人员确定风险所在的位置,提供漏洞修复建议。
据了解,自动化是海云安开源组件安全检测分析平台的一大亮点。
首先第一个自动化表现在,该平台能够通过部署在用户侧的SBOM软件物料清单功能,自动化的收集和展示所有应用包含的组件/组件版本以及许可证信息,帮助用户进行可视化的管理。同时通过与海云安知识库的自动化匹配,快速识别安全风险所在位置,据其介绍,国内开发安全领军厂商,具备业界领先的开源组件库、漏洞库、开源许可证库,可以实现日更新。
另一个自动化是指,该平台的能够自动对接到开发流水线中和DevOps工具以及组件仓库中,能够更好地服务于软件研发周期。
在开发流水线的自动化对接方面,该平台用户能够以自定义的方式制定和执行策略,比如,通过给组件风险评分的形式配置策略,对符合风险控制要求的组件进行例外放行,对高于风险分数标准的组件进行阻断,并以邮件方式向用户指定邮箱发送漏洞风险警报,以主动监测的方式,在整个开发流水线上实现自动化阻断。
在DevOps工具以及组件仓库的自动化对接方面,平台能够将检测报告结果自动化的对接到包括Git、SubVersion、Jenkins、禅道、Jira等DevOps工具中,以及包括JFrog Artifactory/Sonatype Nexus Repository等在内的组件仓库,提醒相关组件面临的安全风险,并给出漏洞修复的建议。
据齐博士透露,该平台另外一大亮点在于,海云安将过去在移动应用程序检测方面的处理过的检测数据整理成为了一个移动应用SDK的数据库,在这个数据库的支撑下,除了开源的大部分组件外,平台也能够很好的检测闭源的商用组件进行安全检测,帮助用户提前发现闭源的商用的SDK里面的组件的问题,这是海云安开源组件安全检测分析平台有别于其他SCA产品的重要优势。
以spring漏洞举例 ,用户如何使用SCA产品进行风险管理?
就日前爆发的Spring框架的高危漏洞事件来看,作为一个基础的Java框架,它被编程开发人员广泛地应用到各类应用程序中。那么在漏洞爆发后,安全人员和开发人员应该如何使用SCA产品来指导漏洞修复工作,进行高效的风险管理呢?
在这一问题上,齐博士认为可以从两种场景来分析:
在事先不知道该组件存在漏洞风险,并已经将其应用在自身应用程序中的情况下,海云安SCA平台的主要价值体现在安全预警、应急处置和修复建议三个层面。在漏洞爆发后,SCA平台会参照SBOM软件物料清单进行反推,向用户指明存在风险的Spring组件具体应用在哪些项目中,将所有使用到该风险组件的项目一一列明。与此同时,平台会自动向每个涉及到该风险组件的项目负责人进行邮件通知,帮助项目负责人迅速展开应急处置。在漏洞修复期间,平台还会及时向项目负责人更新官方给出的漏洞修复建议和修复版本,指导其做好漏洞修复工作。
在用户尚未引入该风险组件的场景下,该SCA平台会在用户新项目的开发早期介入,并对全部引入的组件进行持续跟踪和监测,在第一时间发现风险组件,将相关信息同步给开发人员并及时阻断,将风险及时掐灭于萌芽期。
开源组件风险持续走高 ,SCA产品市场持续向好
在我们看来,近年来不断爆发的开源软件安全事件为SCA产品市场促进了当前开发安全市场以及SCA产品的进一步繁荣,作为开发安全赛道中的专精型厂商,海云安对SCA的未来发展趋势有何看法?
齐博士谈到,对企业来说,业务的更迭速度往往代表着企业的生命力。为了跟上快节奏的业务需求,降低应用开发的成本和周期,研发团队在整个开发过程中引入开源组件的比例正在越来越大。
“就拿Log4j2漏洞事件来举例,现在大家都知道Log4j可能还存在更多风险,但在开发一个新项目的时候,难道要为了处理日志这个事情重新自己写一个工具?这显然是不现实的。或许规模特别大的互联网企业才会考虑自己开发,但几十个人乃至上百人规模的开发团队压根不可能做到。另一个现实问题是,这些开源的组件和功能哪怕是自己开发,如何保证就能够比别人做得更好更安全?”
所以在他看来,开源组件的应用规模还将会继续扩大,而用的比例越高,用的数量越多,相应的安全风险就会越来越大。
此外,齐博士还指出,当前企业层面对风险管理的意识也正在逐渐增强,这进一步促进了市场上SCA产品的发展。实际上在当前很多软件项目中,除了一些特别核心的业务功能外,很多功能都是由开源组件来实现的,甚至还有一部分是直接外包给第三方开发团队来完成,在这种情况下,企业自发地就会去关注相关的安全风险,提升相应的安全能力。
“在监管层面上,去年中国人民银行、中央网信办等五部委联合发布了《关于规范金融业开源技术应用与发展的意见》,这份指导意见是国内首份针对开源技术应用的规范,该《意见》对金融机构提出,要求坚持安全可控,要求把保障信息系统安全作为使用开源技术的底线。这也对外释放了一个信号,开源技术应用即将被纳入安全合规监管的范畴,这代表着SCA这类开源安全风险治理的产品未来是持续向好的,海云安和行业内各家主力做开发安全的厂商也会迎来自己的发展机遇期”,齐博士最后谈到。
