24000字企业开源安全治理最佳实践发布

写在前面

这篇最佳实践的内容取材于互联网、金融、运营商、智能制造、能源等领域数十家头部企业在过去近三年时间的实践经验总结,在编写这篇最佳实践的2个多月过程中,我又收到将近20家企业的应用安全专家及安全负责人的高质量建议,这其中包括来自小米的piaca、月胜、涂鸦智能的刘龙威、快手的廖师傅及非零解、百度的长林、知乎的维祥及夜明、传化物流的国超、某支付的刘奇及山人、某科技公司的我宝哥及杨哥、京东的斯诺、蚂蚁的小哥等一众大佬的支持,当然还有来自墨菲安全的一众专业和可爱小伙伴们两个多月的付出。还有很多在这个过程中通过微信和群聊给我反馈的匿名大佬们的支持(匿名的ID,我暂时没有对上号,后续被我发现了之后再致谢吧),如果有遗漏大佬们提醒我一下。过程中我还采访了美团、平安银行、shein、某国有银行、某能源央企、某头部运营商等等的一众大佬,感谢所有为这个最佳实践贡献经验的每一个小伙伴,感恩。

一、为什么要发布此最佳实践?

随着开源软件在企业的应用比例越来越高,各行业使用开源软件的占比已超过90%,开源软件供应链所带来的安全威胁已成为企业面临的主要威胁之一,上个月底刚爆发的“核弹级”开源软件供应链“XZ-Utils”后门事件在全球范围内引起了轰动,而全球最著名的加密勒索组织Lockbit最惯用的攻击手法也是来自开源软件供应链0day/Nday漏洞。

在此背景下,近两年国内主要行业(包括互联网、金融、运营商、能源、智能制造、政务数字化等)的头部企业均已开展开源软件供应链安全治理工作,一些头部企业在这项工作开展中已经初见成效。但是更多的头部及腰部的企业、以及一些数字化程度相对较弱的行业仍在摸索和调研应该如何开展此项工作。

墨菲安全是一家专注于软件供应链安全领域的创新企业,我们核心团队有超过十年的企业安全治理经验,我们深刻认知到企业想要开展开源软件供应链安全治理并不是采购/自研一个/多个软件工具就能解决问题的,我们必须要进行持续的运营产生实际价值且这个价值能够显现的得到企业管理层的认可,此项工作才能在企业内部持续的开展下去,才能真正提升企业的应用安全水平,而这其实并不容易。过去,我们看到非常多的企业在采购完此类的安全产品/工具后其实并没有真正运营起来,导致此类安全问题一直没有得到解决。所以我们花了大概三个月的时间,结合我们过去服务和交流过的300多家企业的经验教训,同时联合国内十多家已经在开源软件安全治理方面初见成效的企业,整理出来这个最佳实践,希望能够帮助更多的企业高效的开展开源软件供应链安全治理工作,尽量少踩坑。

二、谁需要此最佳实践?

  • 您的企业数字化程度较高,正在面临严重的开源软件供应链安全威胁
  1. 企业直接使用了大量开源组件;
  2. 企业间接(外包/外采商业软件)引入了大量开源组件;
  • 如果您正在计划/已经开展开源软件供应链安全治理
  1. 面临开源软件带来的安全威胁,但是还没有启动这项工作;
  2. 正在调研方案,但是并不是非常清楚应该如何做;
  3. 已经着手开展此项工地,但是遇到很多调整;
  • 如果您未来将负责开展此项工作
  1. 企业应用安全负责人
  2. 企业开源安全治理负责人
  3. 企业安全负责人

三、此最佳实践的主要内容及解决哪些问题?

我们调研了超过200家的企业在开展开源软件供应链安全治理过程中遇到的核心问题及给出的解决方案,通过提炼最终形成最佳实践,这里面包括企业的开源安全治理工作的核心九大环节,包括每个环节的目标、关键要点及实际操作方法,全文24000多字,此外还有一些详细的参考文档作为附录支撑,可以供企业负责开展此项工作的负责人参考和使用,可极大提升项目效率及成功率。

24000字企业开源安全治理最佳实践发布

《开源软件供应链安全治理最佳实践》九大环节

最佳实践中核心解答的问题:

  • 如何向公司管理层说清楚开源软件供应链安全治理的价值及收益?
  • 如何高效有序的分步开展开源软件供应链安全治理工作?
  • 需要治理的开源软件安全风险非常多,如何科学的确定优先级?
  • 平滑的将安全工具能力嵌入至企业的软件开发/管理流程,降低公司内阻力?
  • 开源软件安全治理过程中大量安全问题无法处置的问题?
  • 开源软件安全治理的例行运营过程中,面临了研发部门不配合不理解的问题?

你可以想到的在开展此项工作中会遇到的大部分问题,我们都将尝试给出实操的答案。

四、获取最佳实践/参与研讨/参与共建

获取最新版最佳实践

我们的最佳实践会以月度的频率进行快速迭代完善,为了方便您获取最新版本,您可以填写您的联系方式,我们的运营小姐姐会第一时间将最新版本发送给您。

点击链接或扫描二维码申请:

1. 申请链接:

https://murphysec.feishu.cn/share/base/form/shrcnQiKhcpzX06MT2aCh48oSCc

2. 二维码

24000字企业开源安全治理最佳实践发布

最佳实践分享及闭门研讨会报名

后续我们每个月会组织1-2次关于软件供应链安全的最佳实践的分享和研讨,帮助大家能够在企业内高效的开展软件供应链安全治理工作,闭门研讨会内容包括:

1、企业最佳实践的分享

2、邀请有丰富建设经验的企业大佬与参会人员深入交流讨论

第一期研讨会时间:2024-05-15 19:00

面向人群:企业应用安全工程师/安全负责人/安全专家/开源安全治理负责人等。

主持人:墨菲安全创始人&CEO 章华鹏

报名通道:扫描下方海报二维码报名。

报名审核:为了提升交流质量,我们每一期会控制参与人员数量及范围,所以报名需要审核。

24000字企业开源安全治理最佳实践发布

如何参与此最佳实践的共建?

为了促进行业的交流和共建,墨菲安全会定期组织大家讨论对于最新版本的最佳实践的一些建议和修正,帮助最佳实践能够始终保持创新和领先,服务于全球的数字化企业,这个过程中也可以使得所有的参与方共同学习和进步。

参与方式:添加运营小姐姐的企业微信,并备注参与最佳实践的共建。

24000字企业开源安全治理最佳实践发布
(2)
上一篇 2024年3月18日 上午11:00
下一篇 2023年8月10日 上午10:15

相关推荐

  • 信通院|软件供应链安全标准体系建设与洞察

    郭雪,中国信通院云大所开源和软件安全部副主任 我从2015年开始做开源,到了2020年从开源往上追溯看到软件安全更多的内容,但当前的软件安全现状,大家更多关注渗透测试、代码审计的内容,而针对软件透明度跟踪比较少,所以我从开源入口开始关注到软件供应链安全当前存在的问题。 软件供应链安全研究背景 接下来我将以信通院的角度来说说什么是软件供应链安全,以及需要怎么做…

    2023年8月9日
    0
  • 小米IoT安全峰会|智能汽车行业软件供应链安全解决方案

    墨菲安全在小米IoT安全峰会分享智能汽车安全解决方案 2022年6月30日,墨菲安全受邀参与小米IoT安全峰会,本次由墨菲安全联合创始人、墨菲安全实验室负责人、软件供应链安全开源项目murphysecurity主要贡献者欧阳强斌带来分享,智能汽车行业的软件供应链安全威胁与解决方案。 智能汽车涉及的三类供应链风险的场景 一、开源软件服务的风险 过去有数据统计,…

    2023年8月9日
    0
  • 技术驱动——打造最实用的软件供应链安全工具

    本文整理自 OSCS 软件供应链安全技术论坛- 欧阳强斌老师的分享《技术驱动——打造最实用的软件供应链安全工具》完整内容。 欧阳强斌 墨菲安全联合创始人、墨菲安全实验室负责人, 大家好,我是欧阳强斌,来自墨菲安全专注在软件供应链安全领域的一家创新公司。很高兴能够在这里分享我们对软件供应链安全的理解,以及我们以技术驱动的产品实践。 软件供应链安全并不新鲜 19…

    2023年8月9日
    0
  • 如何通过漏洞可利用性交换来帮助医疗保健优先考虑网络安全风险

    作者:Taylor Lehmann、Seth Rosenblatt 诊断和治疗慢性疼痛可能是复杂的、困难的,对患者和医生来说充满了不确定性。根据患者的状况和医生的知识水平,做出正确的诊断需要时间,可能还需要尝试不同的治疗方法。 这种反复试验的过程可能使患者陷入痛苦和困惑的境地,直到能够开出最佳的药方。这种情况类似于许多当今安全运营团队所面临的日常挑战。 站在…

    2023年8月10日
    0
  • 14 条策略助力企业构建更安全的软件供应链

    每个软件都存在供应链,然而现代软件大部分代码都是开源的,这意味着任何人都可以访问和编辑。但是软件平台的安全取决于其最薄弱的环节,安全漏洞可能随时出现,因此技术领导者必须建立监控和保护供应链中每个环节方案和动作。福布斯技术委员会给出应对软件供应链安全的14条明智的策略,为开发者、企业的安全建设带来思考和建议。 承包商在建造建筑物的时候,会按照计划和流程去采购使…

    2023年8月9日
    0