24000字企业开源安全治理最佳实践发布

写在前面

这篇最佳实践的内容取材于互联网、金融、运营商、智能制造、能源等领域数十家头部企业在过去近三年时间的实践经验总结,在编写这篇最佳实践的2个多月过程中,我又收到将近20家企业的应用安全专家及安全负责人的高质量建议,这其中包括来自小米的piaca、月胜、涂鸦智能的刘龙威、快手的廖师傅及非零解、百度的长林、知乎的维祥及夜明、传化物流的国超、某支付的刘奇及山人、某科技公司的我宝哥及杨哥、京东的斯诺、蚂蚁的小哥等一众大佬的支持,当然还有来自墨菲安全的一众专业和可爱小伙伴们两个多月的付出。还有很多在这个过程中通过微信和群聊给我反馈的匿名大佬们的支持(匿名的ID,我暂时没有对上号,后续被我发现了之后再致谢吧),如果有遗漏大佬们提醒我一下。过程中我还采访了美团、平安银行、shein、某国有银行、某能源央企、某头部运营商等等的一众大佬,感谢所有为这个最佳实践贡献经验的每一个小伙伴,感恩。

一、为什么要发布此最佳实践?

随着开源软件在企业的应用比例越来越高,各行业使用开源软件的占比已超过90%,开源软件供应链所带来的安全威胁已成为企业面临的主要威胁之一,上个月底刚爆发的“核弹级”开源软件供应链“XZ-Utils”后门事件在全球范围内引起了轰动,而全球最著名的加密勒索组织Lockbit最惯用的攻击手法也是来自开源软件供应链0day/Nday漏洞。

在此背景下,近两年国内主要行业(包括互联网、金融、运营商、能源、智能制造、政务数字化等)的头部企业均已开展开源软件供应链安全治理工作,一些头部企业在这项工作开展中已经初见成效。但是更多的头部及腰部的企业、以及一些数字化程度相对较弱的行业仍在摸索和调研应该如何开展此项工作。

墨菲安全是一家专注于软件供应链安全领域的创新企业,我们核心团队有超过十年的企业安全治理经验,我们深刻认知到企业想要开展开源软件供应链安全治理并不是采购/自研一个/多个软件工具就能解决问题的,我们必须要进行持续的运营产生实际价值且这个价值能够显现的得到企业管理层的认可,此项工作才能在企业内部持续的开展下去,才能真正提升企业的应用安全水平,而这其实并不容易。过去,我们看到非常多的企业在采购完此类的安全产品/工具后其实并没有真正运营起来,导致此类安全问题一直没有得到解决。所以我们花了大概三个月的时间,结合我们过去服务和交流过的300多家企业的经验教训,同时联合国内十多家已经在开源软件安全治理方面初见成效的企业,整理出来这个最佳实践,希望能够帮助更多的企业高效的开展开源软件供应链安全治理工作,尽量少踩坑。

二、谁需要此最佳实践?

  • 您的企业数字化程度较高,正在面临严重的开源软件供应链安全威胁
  1. 企业直接使用了大量开源组件;
  2. 企业间接(外包/外采商业软件)引入了大量开源组件;
  • 如果您正在计划/已经开展开源软件供应链安全治理
  1. 面临开源软件带来的安全威胁,但是还没有启动这项工作;
  2. 正在调研方案,但是并不是非常清楚应该如何做;
  3. 已经着手开展此项工地,但是遇到很多调整;
  • 如果您未来将负责开展此项工作
  1. 企业应用安全负责人
  2. 企业开源安全治理负责人
  3. 企业安全负责人

三、此最佳实践的主要内容及解决哪些问题?

我们调研了超过200家的企业在开展开源软件供应链安全治理过程中遇到的核心问题及给出的解决方案,通过提炼最终形成最佳实践,这里面包括企业的开源安全治理工作的核心九大环节,包括每个环节的目标、关键要点及实际操作方法,全文24000多字,此外还有一些详细的参考文档作为附录支撑,可以供企业负责开展此项工作的负责人参考和使用,可极大提升项目效率及成功率。

24000字企业开源安全治理最佳实践发布

《开源软件供应链安全治理最佳实践》九大环节

最佳实践中核心解答的问题:

  • 如何向公司管理层说清楚开源软件供应链安全治理的价值及收益?
  • 如何高效有序的分步开展开源软件供应链安全治理工作?
  • 需要治理的开源软件安全风险非常多,如何科学的确定优先级?
  • 平滑的将安全工具能力嵌入至企业的软件开发/管理流程,降低公司内阻力?
  • 开源软件安全治理过程中大量安全问题无法处置的问题?
  • 开源软件安全治理的例行运营过程中,面临了研发部门不配合不理解的问题?

你可以想到的在开展此项工作中会遇到的大部分问题,我们都将尝试给出实操的答案。

四、获取最佳实践/参与研讨/参与共建

获取最新版最佳实践

我们的最佳实践会以月度的频率进行快速迭代完善,为了方便您获取最新版本,您可以填写您的联系方式,我们的运营小姐姐会第一时间将最新版本发送给您。

点击链接或扫描二维码申请:

1. 申请链接:

https://murphysec.feishu.cn/share/base/form/shrcnQiKhcpzX06MT2aCh48oSCc

2. 二维码

24000字企业开源安全治理最佳实践发布

最佳实践分享及闭门研讨会报名

后续我们每个月会组织1-2次关于软件供应链安全的最佳实践的分享和研讨,帮助大家能够在企业内高效的开展软件供应链安全治理工作,闭门研讨会内容包括:

1、企业最佳实践的分享

2、邀请有丰富建设经验的企业大佬与参会人员深入交流讨论

第一期研讨会时间:2024-05-15 19:00

面向人群:企业应用安全工程师/安全负责人/安全专家/开源安全治理负责人等。

主持人:墨菲安全创始人&CEO 章华鹏

报名通道:扫描下方海报二维码报名。

报名审核:为了提升交流质量,我们每一期会控制参与人员数量及范围,所以报名需要审核。

24000字企业开源安全治理最佳实践发布

如何参与此最佳实践的共建?

为了促进行业的交流和共建,墨菲安全会定期组织大家讨论对于最新版本的最佳实践的一些建议和修正,帮助最佳实践能够始终保持创新和领先,服务于全球的数字化企业,这个过程中也可以使得所有的参与方共同学习和进步。

参与方式:添加运营小姐姐的企业微信,并备注参与最佳实践的共建。

24000字企业开源安全治理最佳实践发布
(0)
上一篇 2024年3月18日 上午11:00
下一篇 2023年8月10日 上午10:15

相关推荐

  • 墨菲安全在软件供应链安全领域阶段性总结及思考

    向外看:墨菲安全在软件供应链安全领域的一些洞察、思考、行动 洞察 现状&挑战: 正在发生的: 思考 为什么这么说? 一个行业越成熟,那么其生产过程中供应链体系就越完善和标准化,比较典型的案例就是汽车的生产和制造; 以汽车生产和制造为例,这个行业非常成熟,因此其供应链体系也相当完善和标准化。以下是一些具体的表现: 总的来说,随着汽车生产和制造行业的成熟…

    2024年1月2日
    0
  • 快手安全 X 墨菲安全|软件供应链安全解决方案完整分享

    本次分享由墨菲安全联合创始人&研发负责人宇佰超于 9 月 26 日快手安全沙龙中分享,本次主题《软件供应链安全体系、方法与落地》,文末附本次分享视频链接,欢迎大家查阅分享,如有任何欢迎联系我们一起交流讨论~ 随着国家 IT 及信息化的推广与普及、IT 行业的快速发展,软件供应链体系愈发的成熟。企业软件开发与信息化建设过程中,涉及与使用到的供应链比重越…

    2023年8月9日
    0
  • 用社区和开发者工具驱动软件供应链安全治理

    本文整理自 OSCS 软件供应链安全技术论坛- 章华鹏老师开场致辞的分享内容。 章华鹏,十二年的企业安全建设、安全社区白帽子、开发者,先后在百度、贝壳负责过企业安全建设 ,也在乌云负责过安全产品,业余时间活跃于安全技术社区,帮助企业、开源项目、软件公司解决过数百个严重安全问题,现在负责墨菲安全和 OSCS 社区,专注于软件供应链安全方向。 软件供应链安全的概…

    2023年8月9日
    0
  • 蚂蚁供应链安全建设实践

    本文整理自 OSCS 软件供应链安全技术论坛- 边立忠(京蛰)老师的分享《蚂蚁供应链安全建设实践》完整内容。 边立忠,蚂蚁集团高级安全专家,蚂蚁集团应用安全产品中台负责人,主要负责蚂蚁 SCA、IAST、SAST、镜像安全扫描等供应链安全相关产品的建设和技术研究。 大家好,我是边立忠,很高兴今天有机会给大家做一个软件供应链安全相关的分享。 我在蚂蚁主要负责 …

    2023年8月9日
    0
  • 信通院|软件供应链安全标准体系建设与洞察

    郭雪,中国信通院云大所开源和软件安全部副主任 我从2015年开始做开源,到了2020年从开源往上追溯看到软件安全更多的内容,但当前的软件安全现状,大家更多关注渗透测试、代码审计的内容,而针对软件透明度跟踪比较少,所以我从开源入口开始关注到软件供应链安全当前存在的问题。 软件供应链安全研究背景 接下来我将以信通院的角度来说说什么是软件供应链安全,以及需要怎么做…

    2023年8月9日
    0