開源軟件運維安全防護(hù)的六個手段

開源，顧名思義，即開放軟件源代碼。代碼貢獻(xiàn)者可將自己編寫的程序提交到開源社區(qū)的公開平臺上，其他代碼開發(fā)者如有類似的功能需求可以不必再自己動腦動手編寫代碼，而是直接集成、修改或應(yīng)用貢獻(xiàn)者公開的代碼。開源軟件是通過特定類型的許可證發(fā)布的軟件，作為全球軟件開發(fā)的基石，已成為全球發(fā)展、數(shù)字化與信息化變革的重要技術(shù)來源。針對開源軟件運維安全，建議采用如下防護(hù)手段：1、建立軟件材料清單軟件材料清單(SoftwareBillofMaterials,SBOM)必須由項目維護(hù)者生成、維護(hù)和詳細(xì)提供，使用自動化軟件成分分析(SoftwareCompositionAnalysis,SCA)工具檢查所使用的組件，以及檢查是否含有惡意代碼或者漏洞組件。SBOM必須由包存儲庫安全地托管和分發(fā)，并由下游用戶仔細(xì)檢查他們的安全性、質(zhì)量和許可證需求。2、強(qiáng)化靜態(tài)分析檢測針對開源代碼開展靜態(tài)分析以檢測其存在的漏洞或其他風(fēng)險隱患，主要基于兩種技術(shù)。一種技術(shù)為不同代碼間的特征比對，該技術(shù)的本質(zhì)為用同一種特征提取手段分別提取目標(biāo)代碼Code_A的特征Ca與參考代碼Code_R的特征Cr并進(jìn)行對比，如果代碼特征相同，則意味著代碼內(nèi)容一致，其風(fēng)險點也一致。另一種技術(shù)為不同代碼之間的依賴關(guān)系比對，該技術(shù)通常需要對完整代碼而非截取代碼片段進(jìn)行分析，其主要基于比對不同代碼中依賴的外部函數(shù)庫或組件，如果目標(biāo)代碼Code_A引用了已知存在風(fēng)險點的代碼庫或函數(shù)Code_B，則目標(biāo)代碼通常會存在相同的風(fēng)險點。3、加強(qiáng)安全身份驗證建議服務(wù)提供者提供多因素身份驗證(MFA)或?qū)嵤?qiáng)密碼策略，而項目維護(hù)人員應(yīng)該遵循身份驗證標(biāo)準(zhǔn)，例如，在可用的情況下使用MFA，避免密碼重用，或保護(hù)敏感令牌。4、啟用分支保護(hù)規(guī)則維護(hù)人員應(yīng)該進(jìn)行仔細(xì)審查合并請求，或者為敏感的項目分支啟用分支保護(hù)規(guī)則，以避免惡意代碼貢獻(xiàn)。由于項目構(gòu)建仍然可能發(fā)生在維護(hù)人員的工作站上，建議他們使用專用的構(gòu)建服務(wù)?？梢愿綦x構(gòu)建步驟，這樣攻擊者就不能篡改構(gòu)建完成的項目。5、獨立完成包構(gòu)建軟件包的構(gòu)建不應(yīng)該由下載時臨時構(gòu)建，建議由包存儲庫實現(xiàn)，以此減少破壞項目構(gòu)建的風(fēng)險。如果由使用者構(gòu)建，這將消除與第三方構(gòu)建服務(wù)和包存儲庫相關(guān)的所有風(fēng)險。在使用時可以通過隔離代碼或沙箱來減少惡意代碼執(zhí)行的影響。6、建立開源治理體系構(gòu)筑健全的開源軟件治理體系，設(shè)計符合企業(yè)自身情況的開源治理流程，有助于確保開源治理工作的可落地性，促進(jìn)開源軟件的管理規(guī)范化、標(biāo)準(zhǔn)化，是安全、合規(guī)地使用開源軟件的根本保障。1)讓安全治理貫穿軟件生命全周期，全面保障開源軟件安全；2)使開源軟件的使用規(guī)范化、體系化，納入企業(yè)常規(guī)管理流程；3)貫徹開源軟件安全使用意識，明確開源治理對于企業(yè)業(yè)務(wù)發(fā)展的重要性；4)及時掌握開源技術(shù)發(fā)展動態(tài)，加強(qiáng)開源技術(shù)創(chuàng)新提升，掌握核心技術(shù)能力。梳理開源軟件安全風(fēng)險點有助于提高對開源軟件安全威脅的認(rèn)識，如何把控開源軟件的運維安全：一是安全防護(hù)需要所有環(huán)節(jié)的人員去共同維護(hù)，攻擊者需要找到鏈條中單一弱點即可，而防御者需要覆蓋整個攻擊面。二是應(yīng)提升所有環(huán)節(jié)人員的安全意識，從根本上解決安全問題。三是使用規(guī)范的軟件開發(fā)環(huán)節(jié)，使得代碼開發(fā)流程無懈可擊。四是完善安全審計工具，協(xié)助開發(fā)者解決自寫代碼、引入代碼中的安全問題。五是對所有引入代碼、開發(fā)人員不可信，對依賴的開源代碼