陈曙光-中国联通软件供应链安全测试实践

中国联通软件供应链安全实践方案 陈曙光产品经理 陈曙光 联通软研院产品经理 拥有超过十年的软件全流程测试实战经验，积累了深厚的专业知识与丰富的实践经验，了解安全测试的各种方法论和技术工具，对软件安全漏洞挖掘、风险分析及防控策略设计等方面具备独到见解和高效执行力，发表数篇专利，参与2个行业标准，多个企业标准制定。并牵头完成中国联通软件供应链安全管理平台建设，利用三大举措，变中求进，提升软件交付效率及安全性。 01安 全 背 景 02产 品 定 位 03产 品 方 案 04应 用 成 效 安全背景 组件漏洞风险 软件供应链安全事件频发，“核弹级”第三方组件漏洞的影响面和危害大 2021年12月，Apache开源组件Log4j被发现两个相关漏洞，分别为任意代码执行漏洞和拒绝服务攻击漏洞，攻击者可以通过构造特殊的请求进行任意代码执行，以达到控制服务器、影响服务器执行的目的。该漏洞已影响超6万个开源软件，涉及相关版本软件包32万余个,被认为是“2021年最重要的安全威胁之一” 2020年12月，美国企业和政府网络突遭“太阳风暴”攻击。黑客利用太阳风公司（SolarWinds）的网管软件漏洞，攻陷了多个美国联邦机构及财富500强企业网络。2020年12月13日，美国政府确认国务院、五角大楼、国土安全部、商务部、财政部、国家核安全委员会等多个政府部门遭入侵。该事件波及全球多个国家和地区的18000多个用户，被认为是“史上最严重”的供应链攻击。 Apache Log4j2漏洞 “太阳风暴”攻击 Spring框架漏洞 Realtek的WiFiSDK漏洞 2021年8月，中国台湾芯片厂商Realtek发布安全公告称在其软件开发套件和WiFi模块中发现了4个安全漏洞。、攻击者可利用该漏洞绕过身份验证，并以最高权限运行恶意代码，有效接管设备。本次暴出漏洞的芯片至少有65家供应商在使用，生产出的设备数量超过十万台。 2022年3月30日，国家信息安全漏洞共享平台（CNVD）收录Spring框架远程命令执行漏洞（CNVD-2022-23942）。攻击者利用该漏洞，可在未授权的情况下远程执行命令，该漏洞被称为“核弹级”漏洞。使用JDK9及以上版本皆有可能受到影响。 自适应威胁免疫风险 沈昌祥院士指出：通过主动免疫可信计算打造安全可信网络产业生态体系，在计算运算的同时进行安全防护，全程管控、不被干扰，使计算结果总是与预期保持一致。将可信计算技术与访问控制相融合，能及时识别“自己”和“非己”成份，禁止未授权行为，使攻击者无法利用缺陷和漏洞对系统进行非法操作，最终达到使攻击者“进不去、拿不到、看不懂、改不了、瘫不成、赖不掉”的效果。 行业对标： 典型应用场景： 行业挑战 如何识别软件引入哪些开源组件及定位组件漏洞 据统计，98%的软件开发公司甚至不知道自己软件产品到底使用了哪些第三库组件。大部分软件开发者在引入第三方库的时候，并没有关注引入组件是否存在安全隐患或者缺陷。 如何让开发人员在编码过程中重视安全需求 敏捷迭代中工期紧、任务重，软件开发人员将软件功能视为头等大事，对软件安全架构、安全防护措施认识不够，很少从“攻击者”的角度思考软件安全问题。 如何在研发过程中避免架构腐化，及时纠偏 软件更新演化频繁，实现与设计架构往往不可避免出现偏离导致腐化，复杂软件系统的架构腐化将影响各类开发维护活动，亟需从全生命周期监控架构，及时感知、定位、修复问题，改善架构质量，提升研发效能。 如何在软件生命全周期内及时发现安全威胁 传统的封堵查杀等安全手段难以应对未知安全威胁的攻击，也不可避免出现封堵查杀不完全的情况，对0-Day等安全漏洞威胁，需要实时的自适应威胁免疫技术。 产品定位 以SCA核心检测技术为驱动力，支持无感接入DevOps流程，从安全需求到运行监控、管理闭环多维度治理威胁。结合行业敏捷安全落地实践经验和软件供应链安全研究成果，探索AI人工智能技术，形成独特的软件供应链安全管理体系 业务创新点-整体 中国联通DevSecOps实践不仅是一场技术革命，更是一场治理变革，是对研发生产阶段的全方位、系统性重塑。坚持高目标牵引，通过“三大创新”点驱动，形成安全、敏捷研发交付的有机整合 三大创新 需求 传统需求设计（无安全性分析）→AI交互式潜在漏洞分析预防 研发 传统分散、先研发后修复→整体统一、研发过程中预防避免 生产 传统上线后漏洞攻击再修复→上线前安准门禁、上线后漏洞防护 传统安全防护，强调管控，一切研发生产活动为安全让路，DevSecOps实践既要安全可信，也要高效敏捷 方案一：安全需求-AI打造全场景解决方案（1/2） 自需求阶段便启动安全预防策略，借助多样化交互方式（包含问答、文档录入等），智能化自动化处理，自动生成安全需求和安全测试方案，弥补需求安全预防分析的空缺，同时指导并把控团队进行安全测试工作 场景模拟 需求自动化建模，智能识别威胁给出处置建议，有效避免越权、注入攻击等安全威胁 方案一：安全需求-核心技术（2/2） 以智能场景模块为支撑，实现问答式场景轻松输入。通过智能场景需求转换模块，实现安全需求分析，产出项目安全需求清单。通过智能设计与智能测试模块，生成安全设计和安全测试方案。安全需求和安全设计能够提升开发团队安全编码效率和效果，安全测试方案指导质控团队安全测试。 方案二：安全研发-编码全过程安全可控（1/2） 研读校对国外研发物料分析技术，邀请专家共襄实践专题讨论会，自主研发静态代码质量检测与软件成分分析能力，进行源码治理与开源组件治理，实现研发编码可信可控，填补研发安全性分析预防空白 基于代码成分分析，公安、架构联合开展专题整改，及时发现及闭环解决包括Log4j、Spring等研发安全威胁 方案二：安全研发-核心技术（2/2） 基于大语言模型（LLM）的物料许可证检测、安全扫描引擎、多语言代码依赖解析技术，提供一键静扫描能力并提供本地开发分析插件，精准、实时。开发过程安全防护，实现统一治理，安全研发，高效敏捷 方案三：安全生产-安全合规检查，筑牢防线（1/2） 提供基于资产视角的Web漏洞、服务漏洞、基线合规全场景安全检查，发布上线进行安全质量合规性检查，构筑DevSecOps体系最后一道防线 方案三：安全生产-核心技术（2/2） 快速晋级、安全可信的统一制品管理，流水线化作业无缝衔接安全准入流程，门禁级阻拦，杜绝一切“带伤上线” 融合xray扫描技术 ü安全机制妥当地融入DevOps渠道中ü智能优先级划分和适用性及上下文分析增强 ü利用精细策略自动实现FOSS许可证合规性ü消除第三方OSS和软件配置漏洞ü发现潜在的零日漏洞和恶意代码插入安全合规 应用成效 上线效果及应用范围 支撑院内应用XX，安全需求交付个数XX，扫描代码仓库数XX，代码行数XX，代码检测覆盖率XX；梳理MAVEN中央仓库组件数XX；获取CVE、CNNVD、CNVD漏洞数XX，许可证数XX；生产流水线发布XX安全准入拦截，安全意识提升，风险可知可控，安全问题零放过 平均检测速度达到代码/分钟，检测深度及组件覆盖数约XX，达到同类型产品领先水平 安全问题整改周期由XX天缩短到XX天，同比缩短XX 上线前缺陷下降XX；上线后缺陷下降XX 技术标准与发明专利 行业标准 企业标准 六篇 四篇 开源社区 在CSDN开源社区发布两篇技术文章 p项目产品化的版本管控实践方案p流水线设计与实践 p《研发运营一体化通用效能度量模型系统平台和工具评估》p《发运营一体化（DevOps）能力成熟度模型第2部分：敏捷开发管理》p《中国信通院数据安全运营管理平台标准》p《数据防泄露产品技术要求与测试方法》p《数据灾备能力成熟度模型标准》p《软件安全开发能力评估技术规范》 p《中国联通软件工程能力成熟度模型规范》p《中国联通应用软件通用安全防护标准》p《中国联通数据全生命周期安全管理指南》p《中国联通数据安全技术能力建设指南》 发明专利 p申请三篇专利，获受理号 1.申请号：202111185305.0专利名称：事件消息传输方法、系统、设备和计算机存储介质2.申请号：2021111528358.8专利名称：流水线编排方法、装置、设备及存储介质3.申请号：202211634297.8专利名称：私有云数据处理方法、装置、设备及存储介质 p发表两篇SCI论文 1.W.Luo, S. Duan and J. Zheng, "UnderwaterImageRestoration andEnhancementBased on aFusion Algorithm With ColorBalance, ContrastOptimization, andHistogram Stretching,"inIEEEAccess, vol. 9, pp. 31792-31804,2021, doi:10.1109/ACCESS.2021.3060947.IEEEAccess；"UnderwaterImageRestoration andEnhancementBased on aFusion Algorithm With ColorBalance, ContrastOptimization, andHistogramStretching,"vol. 9, pp. 31792-31804, 2021, doi:10.1109/ACCESS.2021.3060947.2.周映、汪鑫《数字出版技术安全的现状与优化路径分析》DOI：10.16491/j.cnki.cn45-1216/g2.2022.23.015 G O P S全 球 运 维 大 会2 0 2 4 ·深 圳 站 行业影响力 成果复用 行业认证 p对内： p获取2021年企业数字化治理先锋实践案例数字化运营类中国联通软件研究院最具价值应用案例p全球运维中获得2021年通信行业DevOps年度明星团队p获取2022年信息通信软件供应链社区自主研发创新成果p获取2021年信息通信软件供应链社区优秀治理实践p信通院数据安全治理能力全面治理级（第三级）pSSC-CMM软件供应链安全能力成熟度基础级（第三级） p对内：相关创新成果全年进行全国级20余次培训，面向全院、供应商开展重保安全培训、演练。 1.2021年至今，利用SCA为数字化研发平台中31省分、2200+应用提供软件成分分析15W+次，修复闭环研发过程漏洞3W+；2.2021年至今，利用Xray扫描保证覆盖广度，结合人工渗透测试保证深度。全面集团总部与31省分，为集团五家互联网漏洞治理团队，攻防演练10+个攻击队提供能力支撑，共发现60W+生产漏洞。 p对外：数字化研发平台各位专家参与了多种交流活动6次+ 1.参与《DevOps体系护航企业数字化转型》大会，王浏明作为演讲嘉宾讲解《中国联通DevOps实践》2.参与Gops全球运维大会，李鑫作为宣讲嘉宾讲解《从点到面，中国联通规模化DevOps实践》3.参与《全球壹佰案例峰会》，李鑫作为讲师宣讲《数字化转型“加速器”--中国联通天梯DevOps体系实践》4.参与信通院《2021可信云大会》，谭守文作为演讲嘉宾讲解《数字化度量驱动企业研发管理能力提升》5.参与容器云团队辅导活动，李艳作为讲师讲解《天梯—中国联通一站式研发管理平台助力企业研发质效提升》6.参与《首届ICT软件供应链安全治理论坛暨信息通信软件供应链安全社区第二届成员大会》大会，李鑫作为嘉宾讲解《从DevOps到DevSecOps，研发安全供应链守护中国联通数字化转型》 p对外： 1.2021年完成国防科大数字化研发平台的对外输出。2.2021年完成中国通用技术数字化研发平台的对外输出。3.2022年进行星网、某酒业、应急管理部等单位的数字化研发平台DevOps产品对外输出。 社会效益 践行央企责任担当，在冬奥