SDL安全建设:软件供应链SCA-开源组件安全管控流程-落地实践分享
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
风险管理实践-对接组件库-安全管控流程引入管理。从0到1:全量扫描有风险的组件出库。入库申请:开发申请组件入库安全/质量部门管理。卡点要求:严重或高危漏洞的组件必须排除。入库组件有风险又必须使用:项目负责人申请限制级组件使用。安全使用管理:禁止私自使用未引入的开源软件。组件工具自带阻断功能。审查项目开发所用的组件是否在私服仓库引用。
🎯
关键要点
- 风险管理实践包括对接组件库和安全管控流程的引入管理。
- 从0到1的过程涉及全量扫描有风险的组件,原则上全部出库。
- 入库申请需由开发团队提交,安全/质量部门管理并进行病毒扫描。
- 严重或高危漏洞的组件必须排除,禁止上传至私仓或从私仓下载。
- 企业内部可列出组件黑名单和白名单,黑名单组件严禁使用。
- 项目负责人可申请限制级组件使用,需提交整改计划和规避措施。
- 限制级组件申请需填写详细信息,包括漏洞等级和整改计划。
- 企业所有开源软件和容器镜像必须从开源治理平台获取,禁止私自使用未引入的软件。
- 组件工具自带阻断功能,能够记录违规操作并生成日志。
- 审查项目开发所用组件是否在私服仓库引用,以管控开发过程。
❓
延伸问答
SDL安全建设的主要目标是什么?
SDL安全建设的主要目标是通过风险管理实践和安全管控流程,确保软件供应链中的开源组件安全。
如何申请入库组件的安全审核?
开发团队需提交工单申请,安全/质量部门管理并进行病毒扫描,确认无问题后才能放入测试网。
什么情况下可以使用限制级组件?
项目负责人需申请限制级组件使用,并提交整改计划和规避措施,经过安全、质量部门审批后才能使用。
企业如何管理开源组件的风险?
企业可建立组件黑名单和白名单,禁止使用黑名单中的组件,并定期进行安全扫描以发现风险。
组件工具的阻断功能有什么作用?
组件工具的阻断功能可以记录违规操作,阻止未授权的上传和下载,并生成日志以便追踪。
如何确保开发过程中不使用未授权的开源软件?
企业所有开源软件和容器镜像必须从开源治理平台获取,禁止私自使用未引入的软件,并定期审查项目开发所用组件。
➡️
