项目背景
本案例用户为某省电信企业单位,其软件主要由第三方开发,存在软件成分模糊,缺乏组件版本、关联组件情况、许可证信息等信息的问题;对组件来源不清晰,管理较混乱,无法确定来源进行精细化开源组件风险管控。用户缺乏软件物料清单SBOM检测手段,软件供应链资产无法有效管控,风险及漏洞修复率较低,不满足相关考核要求。
该单位希望通过软件供应链安全能力建设项目实现以下3个建设目标:
(1)软件供应链安全能力建设,具备供应链资产风险可视化管理能力;
(2)构建满足行业特点和业务场景的供应链知识库,收集和挖掘领域性组件安全的重要情报信息;
(3)能灵活对接各种检测工具,对存量的各种软件供应链资产进行风险检测。
解决方案
绿盟科技在该项目中,为用户提供的软件供应链安全解决方案包括平台、服务以及与安全运营平台联动的能力三部分。覆盖了软件供应链资产管理、企业管理、开源组件识别、软件安全评估、软件物料清单、安全风险自动化预警六部分。
绿盟软件供应链安全运营管理架构系统框图
供应链资产管理 主要识别、收集关键供应链资产,包括操作系统、数据库、办公软件等,并明确是否与公司的关键业务有关;
供应链企业管理 识别并收集软件供应商、技术检测方、设计建设方、安全测试方、网络运维方、安全产品供应商等角色相关信息;
开源组件识别 通过对源代码进行遍历和提取,收集各个文件的属性特征,通过对比组件库规则,找出源代码中使用的开源组件;
软件安全评估 从漏洞扫描、源代码审计、开源组件风险分析等多个角度,全面开展软件安全评估,识别软件风险;
软件物料清单生成 展示任务检测出的软件物料清单(SBOM),支持多种SBOM格式导出,如Excel、CycloneDx、SPDX、SWID;
安全风险自动化预警 与CVE、CNCVE、CNNVD、CNVD等主流标准漏洞库,外部威胁情报库交互,实现风险预警、风险关联展示、风险处置一体化的网络安全风险自动化管理解决方案。
该项目交付的产品包含:1个软件供应链风险管理平台,5个检测工具(网站漏洞扫描、主机漏洞扫描、代码软件组成分析、代码静态安全分析、移动应用APK安全分析)。该项目部署采用了虚拟化部署方案,客户提供了虚拟机资源,操作系统和应用系统以镜像文件格式交付、安装。
本项目为客户一期项目,实施周期为期一年,后续会有持续滚动二期项目,旨在进行能力扩容,包括组件数量的丰富,漏洞响应的实时性,供应链风险图谱等方面,会作为后续二期项目的目标。
方案特点
项目实施中,充分发挥了绿盟科技的技术创新能力。并分别在技术融合、SBOM应用、供应链安全情报、拓展融合等方面进行了创新实践。
1
技术创新融合
系统集成多种供应链风险检测工具,包括网站/主机漏洞扫描、软件组成分析、静态安全分析、APK安全分析。支持源代码、二进制、网站、主机类型等多种资产类型,支持工作流编排,多场景化调度和编排检测流程。
2
SBOM创新应用
SBOM管理系统实现了对所有软件组件的集中化管理,组件信息一目了然,版本控制更加精细化。SBOM系统生成的标准化数据,可与其他系统对接,输出SBOM数据,实现研发、测试、运维等全流程的可控性。
3
供应链安全情报体系
依托软件物料清单(SBOM)建立个性化安全情报推送机制,结合情报分析工具获取供应链市场在国际、国内的最新漏洞、热点威胁、热点攻击事件等情报,提高供应链安全检测与防护的准确性与全面性,并对系统内的各组件进行威胁情报专项展示,保证威胁情报的有效性与准确性。
4
拓展融合能力
安全管理平台可以与系统内的安全工具进行对接,实现能力接入,安全编排,针对不同场景调用不同的安全功能。实现供应链管理平台统一下发安全检测任务,调用外部工具接口,联动不同的检测工具,将供应链检测流程自动化、结果可视化。不再拘泥于单一厂商或单一产品功能。
案例点评
