专家有料 | 游耀东：中国电信基于开源治理的PaaS组件安全体系建设

在CIS2021网络安全创新大会，由悬镜安全创始人兼CEO子芽出品的DevSecOps应用与技术专场上，中国电信上海研究院安全专家游耀东分享了中国电信对旗下PaaS进行开源治理的实践经验，以下为演讲实录：

演讲实录

我演讲的主题是“基于开源治理的PaaS组件安全体系建设”，主要是分享中国电信在自有的天翼云PaaS平台上进行开源风险治理工作的经验。

我们PaaS的组件清单，主要包括自研和开源两个方面，其中自研部分指的是内部各个团队开发的一些自主可控的工具，但是总而言之只有一个特点，就是涉及的所有软件百分百使用了开源组件。

这令我们一开始便遇到一些问题：

1. 有数据显示，70%多的开源组件都有安全问题，引入了如此之多的开源组件，到底该如何保证安全？

2. 传统的漏洞扫描工具能力较弱，该如何去精确检测开源组件的安全缺陷或漏洞？

3. 如何确保中国电信200多位合作伙伴，其开发团队的安全保障工作？

4. 一旦遇到开源漏洞问题如去年的Log4j2事件，究竟该如何解决？

先请大家了解下我们PaaS的部署现状，一共三层，分别是集团总部、省公司和专业公司，都有对应的资源池。其中，部署的开源软件实例数超过了1万个，组件的实例数也超过了1万个。如何保障如此大规模的开源成分的安全性，对我们来说是种巨大的挑战。

主要有三方面问题：入网前、入网后以及人员能力。入网前怎么保证入网时的开发安全？入网后怎么进行全网的监控并及时发现安全问题？如何让团队人员共享安全能力？

针对以上这些问题，分享一下我们的方法，主要思路是“统一”，统一规范和检测能力，利用开源治理的思想，通过梳理对整体架构和流程进行统一。

这是我们当时整理的PaaS安全体系架构图，核心是中间的安全运营部分，分为入网前和入网后。入网前让开发团队进行合规检测，入网后的部分主要包括一些标准的安全防护和风险治理活动。架构图的左侧是我们制定的统一规范，右侧则是保障管控能落地所要打造的工具，下方是关于人才培养的措施。

关于建立PaaS运营体系，我们制定了一系列规范，总结为“8个统一”：统一PaaS清单、统一PaaS配置、统一北向接口、统一技术检测、统一集中监控、统一版本运营、集约平台两统一。大家在做开源治理时嵌入自身的安全或者生产规范是一种比较好的实践。

接下来，我们梳理出了PaaS运营的四大流程，均与组件有关。我们基于责任分配又将团队分为三条线，一线是组件使用单位，二线是运营团队，三线是研发单位，从而建立起了全网三线运维体系。

我们将安全工具能力建设分为三个主要方面。第一个是基线扫描工具，利用PaaS平台形成一个整体工具进行统一检测。第二个是日志采集，主要目的是收集我们PaaS组件的各个能力，形成全网视图。第三个是DevOps工具链，尤其是在开发侧，我们重点引入了SCA工具，保证在开发时，第一时间形成开源清单，定位有问题的开源组件。

接下来，就一开始提出的四个问题，给出我们的解答。

1

怎么确保开源软件的来源安全

我们认为最为重要的是要做好开源的威胁情报工作，第一时间明确哪些开源软件存在问题。

2

如何精确检测开源组件的安全缺陷或漏洞

引入一款性能好的SCA工具至关重要，它对于解析应用使用的开源软件以及整理SBOM清单都非常关键。

3

如何管控团队工作

我们认为，DevSecOps体系建设是很重要的实践。

4

怎样快速应对开源威胁

在开发侧引入DevOps，在运营侧引入整体视图，将所有工具融会贯通，形成一个闭环的管理。

演讲的最后，分享两个小故事。

第一个是在我们做入网的组件检测的时候，有个很厉害的团队将软件的信息抹除了，骗过了我们SCA工具的检测。后来我们总结，认为一款好的SCA工具一定要采集足够多的信息，比如哈希值、大数据平台的特征值等，这样才能做到更加准确的检测。

第二个就是Log4j2事件。当时的漏洞修复工作耗费了我们大量的人力。后来我们总结，一定要借助自身平台的自动化修复能力，在安全管理流程中嵌入诸如RASP、IAST等工具能力，充分贯彻DevSecOps的理念，利用整个工具链去自动化地完成修复工作。

另外，还有一个很重要的经验。开源威胁治理只是整个安全流程中的其中一环，最好的实践方式是将其嵌入自身已有的安全能力平台中，通过第一步引入一款好的SCA工具，在最短时间内就能发挥作用。

以上就是我要分享的内容，谢谢大家！

＋

推荐阅读

1. 子芽：新一代代码疫苗技术，让数字化应用从容免疫未知威胁！

2. 专家有料 | 张祖优：腾讯云DevSecOps实践与开源治理探索

3. 专家有料 | 李中文：美团软件成分安全分析（SCA）能力的建设与演进

4. 直播回放 | 周幸：开源治理实践如何实现自动化和智能化落地

5. 暖春盛典 | DevSecOps应用与技术专场成功举办

关于悬镜安全

悬镜安全，DevSecOps敏捷安全领导者。由北京大学网络安全技术研究团队“XMIRROR”发起创立，致力以AI技术赋能敏捷安全，专注于DevSecOps软件供应链持续威胁一体化检测防御。核心的DevSecOps智适应威胁管理解决方案包括以深度学习技术为核心的威胁建模、开源治理、风险发现、威胁模拟、检测响应等多个维度的自主创新产品及实战攻防对抗为特色的软件供应链安全服务，为金融、能源、泛互联网、IoT、云服务及汽车制造等行业用户提供创新灵活的智适应安全管家解决方案。更多信息请访问悬镜安全官网：www.xmirror.cn