观点 | 开源组件漏洞治理实践与思考
文 / 中国人寿保险股份有限公司 赵佳萌 路向宇 吉达勇 郭永冲
随着互联网的蓬勃发展,开源技术广泛应用于金融科技领域,发挥其先进性、开放性等优势推动了科技创新和数字化转型,但随之而来的安全风险也日益凸显,当前开源组件漏洞治理困难主要集中在两个方面:一是缺乏管控机制,存量问题长期滞留无法快速缩减;二是缺乏预警及跟踪手段,增量问题不断蔓延无法有效控制。中国人寿研发中心结合科技产品引用开源组件实际情况,聚焦突出问题,紧盯关键节点,按照“主动管控、消化存量、控制增量”的工作思路推进开源组件漏洞治理工作。目前,开源组件漏洞占比大幅降低,科技产品安全性得到保障,总体治理工作取得较好成果。
开源组件漏洞治理目标与思路
1.目标
通过开源组件漏洞治理,及时发现并解决安全风险,促进漏洞组件占比指标值显著下降,提升产品开发团队安全意识,推进科技产品使用可靠的开源组件,保障科技产品安全性。
2.思路
主动管控:一是联合质量管理部门、产品开发团队、安全测试团队,形成常态化的开源组件安全性提升工作机制,建立开源组件漏洞治理工作指标;二是引入自动化开源组件漏洞检测工具,保障机制有效落地。
消化存量:提升安全意识,按季度滚动开展存量漏洞检查及整改工作。
控制增量:建立漏洞预警及跟踪策略,及时发现增量组件漏洞并跟踪解决。对每个版本开展开源组件漏洞扫描,推动产品开发团队及时解决组件风险。
主动管控形成机制
1.建立常态化的开源组件安全性提升工作机制
开源组件漏洞治理非一次性任务,随业务的发展、新技术的开拓、攻防的博弈等种种原因,治理工作任重而道远,切实可行的工作机制成为开源组件漏洞治理的关键。
为保障工作顺利开展,质量管理部门、产品开发团队、安全测试团队共同制定了涵盖“事前、事中、事后”的工作机制:发版前,及时扫描代码仓库并预警;发版中,对每个版本开展组件漏洞扫描;发版后,对产品未能及时解决的、随技术发展而变得不安全的组件进行追踪整改。
同时,为保障工作切实落地,我们建立了科技产品开源组件台账,制定了常态化开源组件安全性提升工作机制,提出了开源组件安全性评估指标。主要指标包括“科技产品使用的存在安全漏洞的开源组件占比”,具体计算方式如下。
2.引入开源组件漏洞检测能力
工欲善其事,必先利其器。为提升开源组件检查、统计效率,我们引入了开源组件漏洞检测工具,并集成到已有的研发安全管理系统(SECMS,Security Management System)中,打造集开源组件漏洞扫描、静态代码扫描、动态安全扫描、交互式安全测试能力一体的较为完整的安全测试工具链,有效检测外部开源组件、内部应用程序存在的安全风险。
在SECMS集成新的开源组件扫描工具的过程中,有两点需要特别关注。一是统一的权限控制,通过对接我司现有的统一身份认证系统实现。二是开源组件漏洞数据更新,随时间的推移,以往安全的开源组件也可能被爆出漏洞,开源组件漏洞库需按需更新,确保增量开源组件漏洞被及时发现。
在开源组件漏洞能力集成到SECMS后,我们可以将此能力对外开放。一是定义自动化检测接口供产品开发团队在研发流程中调用,实现基于研发流水线的自动化开源组件漏洞检测。二是将开源检测能力面向中国人寿各级分公司开放,协助分公司提升其应用的安全水平。
滚动消化存量问题
为推动存量问题快速解决,研发中心信息安全工作小组高度重视,确定了按季度滚动解决存量漏洞的方案,各产品开发团队严格执行整改计划,质量管理部门和安全测试团队定期跟进,取得了较好成效。
参照总体治理目标及要求,质量管理部门按季度完成科技产品开源组件安全性评估指标的计算并按指标值对科技产品进行排名后发布。季度指标发布后,由安全测试团队面向指标值较高的产品开发团队重点推进,通过沟通会形式进行指标说明、整改建议、整改计划确认(含整改组件及整改时点),待整改时限后对整改结果完成复核,逐步降低科技产品使用存在已知漏洞的组件安全风险。
图1 开源组件漏洞整改策略(按季度滚动推进)
及时防控增量问题
为了及时防范增量问题,提出了增量开源组件漏洞预警及跟踪策略。具体为两种情况:一是科技产品新引入的组件存在漏洞,此种情况要求产品开发团队通过升级或修复漏洞的方式就地解决;二是由于攻击技术的升级,以往安全的组件也可能出现漏洞,此类情况由安全测试团队根据组件台账生成问题整改清单,根据问题优先级确定处理时限,并自动将新增组件漏洞预警消息推送给对应产品负责人,使产品开发团队及时掌握新增组件漏洞情况并统筹规划整改工作。
治理成果
通过实施“主动管控形成机制”、“滚动消化存量问题”、“及时防范增量问题”的具体工作举措,整改开始后首个季度总体“漏洞组件占比”环比下降5%,其中部分科技产品在安全测试团队专项支持下“漏洞组件占比”环比下降15%以上。经过半年时间,指标值降低到一个较低的区间,治理工作效果显著。
未来规划与思考
在质量管理部门、产品开发团队、安全测试团队共同协作下,开源组件漏洞得到有效抑制。开源组件漏洞治理工作取得了阶段性进展,但在管控力度、数据资产、技术能力等方面还有待提升,后续计划在以下三个方面深入研究并加强投入,扩大开源组件漏洞治理工作成效及价值。
1.把好入口关,阻断不安全组件下载
在开源组件引入之初就把好安全关是至关重要的。现在产品开发团队一般通过中心组件仓库来获取开源组件,因此要加强组件的入库检查。当前,已实现开源组件漏洞检测能力对接组件私服仓库,后续将根据检测结果自动阻断不安全开源组件下载到组件仓库。
2.丰富组件台账信息,提升应急处置效率
开源组件台账信息对漏洞治理工作意义重大。针对外部披露开源组件漏洞情况,基于组件台账可迅速梳理受此组件漏洞影响的科技产品清单。如2021年6月,国外安全研究人员披露Apache Dubbo多个高危漏洞,通过开源组件台账快速定位受影响产品,通过告警、排查、处置环节,相关产品均在两天内修复完毕。后续将不断丰富开源组件漏洞台账信息,重点加强整改措施指导,并推进应急处置能力建设,使突发漏洞应急处置过程更加高效。
3.加强开源组件分析,赋能科技产品选型
对同类别开源组件进行多维度评估,包括组件处理效率、组件更新频率、漏洞频率、漏洞修复时限等评估项,通过多方评审综合评定最优选型方案。推荐组件可基于产品研发流水线自动化定向推荐,为科技产品提供引用或替换的更优选型推荐。
我司开源组件漏洞治理工作仍处在探索阶段,未来将在实践过程中持续优化工作方法,开拓出一条适用于金融保险公司特色的开源组件安全保障道路。
