悬镜首发 | 源鉴OSS——软件开源威胁治理与风险管控平台 – 作者:悬镜安全实验室

据 WhiteSource 的报告显示，2015年和 2016年，每年开源安全漏洞的数量不超过 2000，但是在 2017年和 2018年，开源安全漏洞的数量一路飙升，超过4000, 2019年，开源安全的漏洞超过6000个，突破历史记录。

然而，在当今复杂而多变的商业环境中，业务团队无法接受速度的迟滞，在研发效率和编码速度的考量下，几乎所有的软件应用都基于第三方的组件、开源代码、通用函数库实现。随之而来又经常被忽视的是：绝大多数应用程序都包含开源组件风险。根据行业公司的调查报告，超过70%的应用在初步检测时就会被发现其存在开源组件漏洞，而最终的检测结果，存在开源组件漏洞的软件应用比例超过 90%。我们不应一再忽视如此显而易见而又影响广泛的风险。

数据来源：State of Software Security:Open Source Editon,Veracode

企业对于漏洞和使用开源组件情况不可知，发现安全问题不能及时补救修复等问题日益凸显，漏洞管理生态系统近年来应运而生，并逐渐成熟起来，安全从业者投入大量时间来发现、管理、分类和交流漏洞。漏洞描述的标准化不仅有助于威胁情报共享，而且还有助于有效管理潜在的威胁，帮助组织、供应商积极寻求发现漏洞并及时作出响应，从而降低安全风险。

用户4大痛点

NO.1 开源漏洞风险不可知

目前使用的开源软件中存在多少已知安全漏洞和知识产权风险？

NO.2 安全技术能力不全面

针对开源软件安全漏洞，企业缺少评估和修复能力？

NO.3 开源组件使用情况不清晰

企业不清楚系统中使用了多少开源软件，哪些开源组件？

NO.4 快速精准定位漏洞能力弱

企业在开源软件或组件出现漏洞时，无法快速定位到漏洞组件的影响范围，并及时止损，禁止漏洞组件下载！

关于源鉴 OSS

源鉴OSS开源威胁管控平台（以下简称“源鉴 OSS”）基于多源 SCA开源应用安全缺陷检测技术，结合悬镜独有应用探针精准识别应用开发过程中，软件开发人员有意或违规引用的开源第三方组件风险，并通过应用组成分析引擎，多维度提取开源组件特征，计算组件指纹信息，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。

相比传统 SCA 检测平台，源鉴 OSS 引擎更加侧重应用系统实际运行过程中动态加载的第三方组件及依赖，在此基础上进行深度且更加有效的威胁分析。同时，本平台通过智能化数据收集引擎在全球范围内获取开源组件信息及其相关漏洞信息，及时获取开源组件漏洞情报，降低由开源组件带来的安全风险，从而保障软件安全。

源鉴OSS通过业界领先的IAST技术赋予的代码级运行洞察力，从根本上提升了软件成分分析（SCA）的实践标准，使安全团队能够准确并全面的掌握应用中存在的开源风险态势，从而助力开发人员确定补救工作的优先级并相应地集中精力修复高危漏洞。

同时源鉴OSS可以帮助开发人员精确获知漏洞详细的引入位置，这显著减少了从漏洞发现到修复花费的时间，提高了开发人员的总体生产力。

产品5大亮点

01亮点一：深度流程融合，加速安全开发

在不改变组织现有开发、测试流程的前提下，与源代码管理系统（Git、SVN等）、缺陷管理系统（如Jira、Bugzilla、禅道等）、持续集成工具（如Jenkins、TFS）无缝对接，将代码第三方库检测融入企业的DevOps研发流程，实现了软件成分分析、成分中的已知漏洞分析及评估、许可证分析、漏洞范围影响分析等功能，帮助组织快速构建代码安全保障体系。

02亮点二：运行态分析验证，重要的事先做

与传统SCA产品相比，源鉴OSS依靠独有的IAST技术，拥有运行时分析能力，通过开源软件成分分析、依赖分析、特征分析、引用识别等多种技术组合能够精确识别软件中的开源组件信息，以准确识别应用程序是否实际使用了易受攻击的组件，进一步确认漏洞的真实有效性，使开发人员避免面对数量巨大的误报和无法利用的漏洞，帮助他们区分优先级，将有限的修复精力集中在真正重要的漏洞上。

03亮点三：可视化展示组件依赖关系及影响分析

平台支持开发阶段、CI/CD阶段及测试阶段全流程对开源组件的检测，梳理并管控开源组件信息，并从企业、部门、项目及任务等多角度分析组件的影响范围和依赖关系，通过可视化拓扑图，多维度的展示详细的BOM清单的调用关系，助力使用者快速制定解决方案。

04亮点四：实时监控，及时更新组件动态和组件风险告警

源鉴OSS的漏洞信息兼容OWASP TOP10、国家信息安全漏洞库（CNNVD）、国家信息安全漏洞共享平台（CNVD）及CWE标准，通过在云端的“悬镜大脑”监控众多开源软件漏洞情报来源，通过清洗、匹配、关联等一系列自动化数据分析处理后，向源鉴OSS及时推送开源软件风险信息，让用户及时获取影响其安全的最新开源软件漏洞和许可证风险情报。

05亮点五：支持多种主流开发语言的源代码检测

支持C、Java、PHP、Python、Go等多种主流开发语言的源代码检测，将源代码缺陷检测和源代码合规检测融入到企业开发测试流程中，识别风险代码片段、风险函数及函数依赖关系，帮助企业以最小代价落地源代码安全保障体系，降低软件安全问题的修复成本，提升软件安全质量。

5个维度看用户收益

01从开发流程的角度：无需改变原有流程，“一站式”自动检测

平台通过插件与业务流程无缝衔接，自动获取组件数据进行检测，让开发、测试、安全人员集中精力关注检测结果，减少检测过程中繁琐的重复配置和等待时间，提高开发团队整体的工作效率。同时可以直接将检测结果提交至企业 Bug 管理系统中，方便开发人员查看和解决问题，企业无需改变原有开发流程，快速融入企业研发过程。

02从资产管理的角度：管理软件开发过程中使用的各类开源组件

平台通过自身的检测能力，自动化梳理公司组件资产，快速建立私服制品库，并且以可视化的方式展示组件与组件、组件与项目之间的依赖关系，及组件漏洞影响范围，便于用户了解公司、部门及项目的组件清单和使用情况，同时也能及时地回溯风险组件的位置及影响范围，为解决组件风险快速提供依据。

03从风险管理的角度：检测和跟踪开源组件的安全态势

平台通过深度检测分析，能够全面准确地定位组件风险信息、依赖关系及影响范围，同时，平台对组件资产进行实时风险审查，并对风险组件实时跟踪及时预警。

04从知识产权管理角度：快速了解文件级许可证信息，降低法律风险

通过平台给出文件级的许可证信息、整个项目的许可证情况、不同许可证可能冲突情况，快速了解潜在的许可证风险、及时规避风险。

05从向上管理的角度：数据报告可视化统计，便于向上汇报

平台可按照公司级、部门级、项目级进行数据可视化展示，同时，平台也支持项目级、任务级报告生成，此外，平台还支持导出/转发节点、应用、组件、漏洞数据信息，更加便于向上汇报安全情况。

典型行业案例

随着企业业务的不断扩展，某金融客户为了提高开发效率，引用各种开源项目，然而，开发人员无法对这些开源组件进行有效的安全管控，导致开源组件滥用，开源威胁频出。针对该用户此情况，源鉴OSS高度融合到企业开发流程中，结合悬镜独有应用探针精准识别应用开发过程中，引用的开源第三方组件，帮助客户构建私服制品库，加强对开源组件的统一管理。同时，利用核心引擎对制品库进行潜藏的各类安全漏洞及开源协议风险实时监控及告警，帮助用户进行开源威胁治理，防止开源组件滥用，开源威胁频出的现象发生。

来源：freebuf.com 2020-11-06 16:29:53 by: 悬镜安全实验室