0x1本周话题
话题:各位大佬,请教一下开源许可目前大家都是怎么做的?有没有做门禁,是根据工具扫描出的结果严格做的?还是直接手工添加一些策略比如禁止所有GPL或GPL和apache在一起的就禁止这种,开源组件许可证这边不知道要不要严格控制,总感觉会有很大阻力。
A1:这个事情要跟法务沟通,这样阻力会小的多,我们是政策+工具扫描的方式。
A2:按照供应链风险,由领导支持,成立了专门的开源治理小组来管,里面包括paas管组件的,开发用组件的,法务,安全,主责在管理组件的部门。不需要安全来接受违法风险。总结来讲就是不要一个人单干,意思就是这个事情关乎公司大局利益,拉着大伙一起干。
Q:干着干着总觉得哪里不对,原来是定位错了,把自己当成主责方了,那一般这个安全要牵头吗?牵头就成了主责方?
A3:安全的权力大就叫安全牵头。应该法务牵头。不过很可能法务不想牵头。
A4:这里提到的是许可,即license的事情,license是需要钱的,不花钱就有法律风险,所以应该叫法务牵头。如果涉及到某某版本,存在RCE,那就安全主动跟进,说这个版本有风险,需要升级或者弃用。
Q:讲道理,比如先问公司,收到license侵权律师函,一般由哪个部门接收和处理?
A5:版权被侵犯了法务还不出面?这是整个法务团队准备解散的前提吗?
A6:但是科技要是不去使用,就不会由侵权,所以科技还是得参与的。科技也不是安全去参与。只能说是科技的费用去支撑买license。所以安全可以利用这个委员会,不过大多数不牵头(能量大,老板信任,帮老板解决痛点另说)。
A7:侵权是商务问题,license是科技相关的东西,建议由科技负责人和法务负责人协商。
A8:我们是架构牵头,许可证他们负责,安全我们负责,法律会说不懂专业,而且用哪个,要不要买都是需要技术分析,所以还是得科技自治,法律配合。
Q:我的问题确实是许可证的问题,不过您提到这个,顺便请问一下那你们在落地的时候,这个许可控制是在哪个阶段做的?比如做开源组件引入的控制,一方面漏洞扫描,做一些禁止使用的策略,另一方面许可证你们也做准入控制吗?
A9:架构会控制引入,包括许可证的准入和制品的准入,现在会在构建阶段分析成分,结合hids结果搞应用台帐,然后定期做存量盘点。
A10:安全这里的事情就少了很多了。确认一下哪个版本,有什么漏洞风险即可。没有必要挑大梁。当然老板交代除外。
A11:他的问题不是因为GPL的许可问题吗?咋又涉及到漏洞层面的问题,他的问题应该是因为GPL以及和Apache相关的开源协议的问题。供应链安全是不是要考虑这些问题。
A12:充分体现了“带电的都是科技的”。我们也是这样,基本都科技内部处理。
A13:架构挑头了确实比安全容易很多,人家话语权大。
A14:供应链安全,这5个字,主要考虑的是断供,是要考虑许可证的,我们公司把供应链(供应)安全和供应链网络(漏洞)安全分开管理的,管理思路完全不同。架构是比较合适的,典型如jdk选型,法务等都只能算参考意见,但职责这回事,是老板的事,各组织情况都不一样,轮不到咱们来派活,咱们只能提供调研情况。
Q:供应链安全更多是治理层面考虑吗?感觉漏洞只是供应链安全中的一个方面。
A15:软件都只是供应链的一个方面,供应链可大了。