24000字企业开源安全治理最佳实践发布

写在前面

这篇最佳实践的内容取材于互联网、金融、运营商、智能制造、能源等领域数十家头部企业在过去近三年时间的实践经验总结,在编写这篇最佳实践的2个多月过程中,我又收到将近20家企业的应用安全专家及安全负责人的高质量建议,这其中包括来自小米的piaca、月胜、涂鸦智能的刘龙威、快手的廖师傅及非零解、百度的长林、知乎的维祥及夜明、传化物流的国超、某支付的刘奇及山人、某科技公司的我宝哥及杨哥、京东的斯诺、蚂蚁的小哥等一众大佬的支持,当然还有来自墨菲安全的一众专业和可爱小伙伴们两个多月的付出。还有很多在这个过程中通过微信和群聊给我反馈的匿名大佬们的支持(匿名的ID,我暂时没有对上号,后续被我发现了之后再致谢吧),如果有遗漏大佬们提醒我一下。过程中我还采访了美团、平安银行、shein、某国有银行、某能源央企、某头部运营商等等的一众大佬,感谢所有为这个最佳实践贡献经验的每一个小伙伴,感恩。

一、为什么要发布此最佳实践?

随着开源软件在企业的应用比例越来越高,各行业使用开源软件的占比已超过90%,开源软件供应链所带来的安全威胁已成为企业面临的主要威胁之一,上个月底刚爆发的“核弹级”开源软件供应链“XZ-Utils”后门事件在全球范围内引起了轰动,而全球最著名的加密勒索组织Lockbit最惯用的攻击手法也是来自开源软件供应链0day/Nday漏洞。

在此背景下,近两年国内主要行业(包括互联网、金融、运营商、能源、智能制造、政务数字化等)的头部企业均已开展开源软件供应链安全治理工作,一些头部企业在这项工作开展中已经初见成效。但是更多的头部及腰部的企业、以及一些数字化程度相对较弱的行业仍在摸索和调研应该如何开展此项工作。

墨菲安全是一家专注于软件供应链安全领域的创新企业,我们核心团队有超过十年的企业安全治理经验,我们深刻认知到企业想要开展开源软件供应链安全治理并不是采购/自研一个/多个软件工具就能解决问题的,我们必须要进行持续的运营产生实际价值且这个价值能够显现的得到企业管理层的认可,此项工作才能在企业内部持续的开展下去,才能真正提升企业的应用安全水平,而这其实并不容易。过去,我们看到非常多的企业在采购完此类的安全产品/工具后其实并没有真正运营起来,导致此类安全问题一直没有得到解决。所以我们花了大概三个月的时间,结合我们过去服务和交流过的300多家企业的经验教训,同时联合国内十多家已经在开源软件安全治理方面初见成效的企业,整理出来这个最佳实践,希望能够帮助更多的企业高效的开展开源软件供应链安全治理工作,尽量少踩坑。

二、谁需要此最佳实践?

  • 您的企业数字化程度较高,正在面临严重的开源软件供应链安全威胁
  1. 企业直接使用了大量开源组件;
  2. 企业间接(外包/外采商业软件)引入了大量开源组件;
  • 如果您正在计划/已经开展开源软件供应链安全治理
  1. 面临开源软件带来的安全威胁,但是还没有启动这项工作;
  2. 正在调研方案,但是并不是非常清楚应该如何做;
  3. 已经着手开展此项工地,但是遇到很多调整;
  • 如果您未来将负责开展此项工作
  1. 企业应用安全负责人
  2. 企业开源安全治理负责人
  3. 企业安全负责人

三、此最佳实践的主要内容及解决哪些问题?

我们调研了超过200家的企业在开展开源软件供应链安全治理过程中遇到的核心问题及给出的解决方案,通过提炼最终形成最佳实践,这里面包括企业的开源安全治理工作的核心九大环节,包括每个环节的目标、关键要点及实际操作方法,全文24000多字,此外还有一些详细的参考文档作为附录支撑,可以供企业负责开展此项工作的负责人参考和使用,可极大提升项目效率及成功率。

24000字企业开源安全治理最佳实践发布

《开源软件供应链安全治理最佳实践》九大环节

最佳实践中核心解答的问题:

  • 如何向公司管理层说清楚开源软件供应链安全治理的价值及收益?
  • 如何高效有序的分步开展开源软件供应链安全治理工作?
  • 需要治理的开源软件安全风险非常多,如何科学的确定优先级?
  • 平滑的将安全工具能力嵌入至企业的软件开发/管理流程,降低公司内阻力?
  • 开源软件安全治理过程中大量安全问题无法处置的问题?
  • 开源软件安全治理的例行运营过程中,面临了研发部门不配合不理解的问题?

你可以想到的在开展此项工作中会遇到的大部分问题,我们都将尝试给出实操的答案。

四、获取最佳实践/参与研讨/参与共建

获取最新版最佳实践

我们的最佳实践会以月度的频率进行快速迭代完善,为了方便您获取最新版本,您可以填写您的联系方式,我们的运营小姐姐会第一时间将最新版本发送给您。

点击链接或扫描二维码申请:

1. 申请链接:

https://murphysec.feishu.cn/share/base/form/shrcnQiKhcpzX06MT2aCh48oSCc

2. 二维码

24000字企业开源安全治理最佳实践发布

最佳实践分享及闭门研讨会报名

后续我们每个月会组织1-2次关于软件供应链安全的最佳实践的分享和研讨,帮助大家能够在企业内高效的开展软件供应链安全治理工作,闭门研讨会内容包括:

1、企业最佳实践的分享

2、邀请有丰富建设经验的企业大佬与参会人员深入交流讨论

第一期研讨会时间:2024-05-15 19:00

面向人群:企业应用安全工程师/安全负责人/安全专家/开源安全治理负责人等。

主持人:墨菲安全创始人&CEO 章华鹏

报名通道:扫描下方海报二维码报名。

报名审核:为了提升交流质量,我们每一期会控制参与人员数量及范围,所以报名需要审核。

24000字企业开源安全治理最佳实践发布

如何参与此最佳实践的共建?

为了促进行业的交流和共建,墨菲安全会定期组织大家讨论对于最新版本的最佳实践的一些建议和修正,帮助最佳实践能够始终保持创新和领先,服务于全球的数字化企业,这个过程中也可以使得所有的参与方共同学习和进步。

参与方式:添加运营小姐姐的企业微信,并备注参与最佳实践的共建。

24000字企业开源安全治理最佳实践发布
(2)
上一篇 2024年3月18日 上午11:00
下一篇 2023年8月9日 下午9:18

相关推荐

  • 蚂蚁供应链安全建设实践

    本文整理自 OSCS 软件供应链安全技术论坛- 边立忠(京蛰)老师的分享《蚂蚁供应链安全建设实践》完整内容。 边立忠,蚂蚁集团高级安全专家,蚂蚁集团应用安全产品中台负责人,主要负责蚂蚁 SCA、IAST、SAST、镜像安全扫描等供应链安全相关产品的建设和技术研究。 大家好,我是边立忠,很高兴今天有机会给大家做一个软件供应链安全相关的分享。 我在蚂蚁主要负责 …

    2023年8月9日
    0
  • Log4j2漏洞背后是全球软件供应链风险面临失控

    前言 Log4j2作为java代码项目中广泛使用的开源日志组件,它的一个严重安全漏洞对于全球的软件供应链生态来讲不亚于一场新冠病毒的影响,任何企业的代码项目沾上它都有可能给企业带来致命的安全风险。 全球新一轮的产业数字化升级对开源软件的依赖日益提升,从而催生开源生态的蓬勃发展,而开源软件的全球化和开放共享的特性使得任何一个非常底层和基础的开源组件的漏洞都有可…

    2023年8月9日
    0
  • 快手安全 X 墨菲安全|软件供应链安全解决方案完整分享

    本次分享由墨菲安全联合创始人&研发负责人宇佰超于 9 月 26 日快手安全沙龙中分享,本次主题《软件供应链安全体系、方法与落地》,文末附本次分享视频链接,欢迎大家查阅分享,如有任何欢迎联系我们一起交流讨论~ 随着国家 IT 及信息化的推广与普及、IT 行业的快速发展,软件供应链体系愈发的成熟。企业软件开发与信息化建设过程中,涉及与使用到的供应链比重越…

    2023年8月9日
    0
  • 14 条策略助力企业构建更安全的软件供应链

    每个软件都存在供应链,然而现代软件大部分代码都是开源的,这意味着任何人都可以访问和编辑。但是软件平台的安全取决于其最薄弱的环节,安全漏洞可能随时出现,因此技术领导者必须建立监控和保护供应链中每个环节方案和动作。福布斯技术委员会给出应对软件供应链安全的14条明智的策略,为开发者、企业的安全建设带来思考和建议。 承包商在建造建筑物的时候,会按照计划和流程去采购使…

    2023年8月9日
    0
  • 技术驱动——打造最实用的软件供应链安全工具

    本文整理自 OSCS 软件供应链安全技术论坛- 欧阳强斌老师的分享《技术驱动——打造最实用的软件供应链安全工具》完整内容。 欧阳强斌 墨菲安全联合创始人、墨菲安全实验室负责人, 大家好,我是欧阳强斌,来自墨菲安全专注在软件供应链安全领域的一家创新公司。很高兴能够在这里分享我们对软件供应链安全的理解,以及我们以技术驱动的产品实践。 软件供应链安全并不新鲜 19…

    2023年8月9日
    0