SDL安全建设:软件供应链SCA-开源组件安全管控流程-落地实践分享
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
风险管理实践-对接组件库-安全管控流程引入管理。从0到1:全量扫描有风险的组件出库。入库申请:开发申请组件入库安全/质量部门管理。卡点要求:严重或高危漏洞的组件必须排除。入库组件有风险又必须使用:项目负责人申请限制级组件使用。安全使用管理:禁止私自使用未引入的开源软件。组件工具自带阻断功能。审查项目开发所用的组件是否在私服仓库引用。
🎯
关键要点
- 风险管理实践包括对接组件库和安全管控流程的引入管理。
- 从0到1的过程涉及全量扫描有风险的组件,原则上全部出库。
- 入库申请需由开发团队提交,安全/质量部门管理并进行病毒扫描。
- 严重或高危漏洞的组件必须排除,禁止上传至私仓或从私仓下载。
- 企业内部可列出组件黑名单和白名单,黑名单组件严禁使用。
- 项目负责人可申请限制级组件使用,需提交整改计划和规避措施。
- 限制级组件申请需填写详细信息,包括漏洞等级和整改计划。
- 企业所有开源软件和容器镜像必须从开源治理平台获取,禁止私自使用未引入的软件。
- 组件工具自带阻断功能,能够记录违规操作并生成日志。
- 审查项目开发所用组件是否在私服仓库引用,以管控开发过程。
➡️
