各位FreeBufer周末好~以下是本周的「FreeBuf周报」,我们总结推荐了本周的热点资讯、优质文章和省心工具,保证大家不错过本周的每一个重点!

1640934640_61ceacf0ba1e8								</div>
			</article>
					<article itemscope itemtype=

1.概述

近期,安天CERT(安天应急响应中心)在梳理安全事件时,发现一例伪装成韩国互联网安全局(KISA)研究员针对韩国新闻行业重要人物进行鱼叉钓鱼的网络攻击活动,经研判分析,此次活动来自Kimsuky组织。Kimsuky

微信图片_20211231134713.jpg

沙龙简介

快手安全「手」护者系列沙龙活动于今年5月首次举办,至今已成功举办两期。本系列沙龙大咖云集,顶尖白帽汇聚一堂,分享前沿技术干货、实践案例,同时与业内建立沟通桥梁,打造行业信息安全建设交流新平台,目前累计吸引上千人次参与沙龙交流学习。

快手安全沙龙「漏洞检测」专场,由快手安全技术团队和快手中学、火线、金山云、微博、五八联合举办,邀请五位行业大咖,做客快手进行深度技术交流。

议题合集

01《业务漏洞挖掘案例与思考分享》

唐茂凡 微博安全高级工程师

简介:浅谈当下企业从常规漏洞发现、到基于业务场景漏洞挖掘的转变和业务可能会面临的风险,结合业务漏洞挖掘案例,分享一个甲方安全工程师的一些经验、思考和体会,希望对大家有所帮助。

02《白盒扫描器在58的实践应用》

方钊 58资深安全工程师

简介:简单介绍58集团白盒扫描器在devops下的落地过程,以及在devops的场景下联动黑盒、SCA、服务治理相关能力实践。

03《如何利用污点跟踪技术高效的挖掘Java漏洞》

owefsad 火线安全研究专家

简介:进行漏洞挖掘与分析时,经常遇到调用链梳理、请求参数构造等一系列的技能点;希望通过污点跟踪技术的分享帮助大家更高效的挖掘0 Day。

04《云WAF建设之路》

董光利 前金山云安全开发工程师

简介:深入分析云waf现有的防护功能和攻防效果,包括:

* 分析云waf目前web防护的手段

* 分析web防护绕过的案例

* 分析"反bot"功能在红蓝对抗中的效果

05《快手蓝军近源攻击案例与思考分享》

雷东奇 快手攻防专家

简介:红蓝对抗演练中蓝军面临的最大挑战是:隐蔽突破红军现有的安全防御体系。本次分享介绍如何通过“阿登”高地(有线、无线Wi-Fi、物联网设备等)隐蔽近源渗透绕过安全马奇诺防线。

参与方式

扫描下方活动行二维码/点击阅读全文免费报名沙龙

报名成功后扫描右侧二维码添加小助手进入沙龙交流群

微信图片_20211231135006.jpg1640929831206229.jpeg

福利抢先看

整场活动将在快手APP官方账号快手中学直播间进行,建议大家在端内观看,可以参与抽奖活动哦(观看越久,中奖几率越高)

微信图片_20211231134713.jpg

沙龙简介

快手安全「手」护者系列沙龙活动于今年5月首次举办,至今已成功举办两期。本系列沙龙大咖云集,顶尖白帽汇聚一堂,分享前沿技术干货、实践案例,同时与业内建立沟通桥梁,打造行业信息安全建设交流新平台,目前累计吸引上千人次参与沙龙交流学习。

快手安全沙龙「漏洞检测」专场,由快手安全技术团队和快手中学、火线、金山云、微博、五八联合举办,邀请五位行业大咖,做客快手进行深度技术交流。

议题合集

01《业务漏洞挖掘案例与思考分享》

唐茂凡 微博安全高级工程师

简介:浅谈当下企业从常规漏洞发现、到基于业务场景漏洞挖掘的转变和业务可能会面临的风险,结合业务漏洞挖掘案例,分享一个甲方安全工程师的一些经验、思考和体会,希望对大家有所帮助。

02《白盒扫描器在58的实践应用》

方钊 58资深安全工程师

简介:简单介绍58集团白盒扫描器在devops下的落地过程,以及在devops的场景下联动黑盒、SCA、服务治理相关能力实践。

03《如何利用污点跟踪技术高效的挖掘Java漏洞》

owefsad 火线安全研究专家

简介:进行漏洞挖掘与分析时,经常遇到调用链梳理、请求参数构造等一系列的技能点;希望通过污点跟踪技术的分享帮助大家更高效的挖掘0 Day。

04《云WAF建设之路》

董光利 前金山云安全开发工程师

简介:深入分析云waf现有的防护功能和攻防效果,包括:

* 分析云waf目前web防护的手段

* 分析web防护绕过的案例

* 分析"反bot"功能在红蓝对抗中的效果

05《快手蓝军近源攻击案例与思考分享》

雷东奇 快手攻防专家

简介:红蓝对抗演练中蓝军面临的最大挑战是:隐蔽突破红军现有的安全防御体系。本次分享介绍如何通过“阿登”高地(有线、无线Wi-Fi、物联网设备等)隐蔽近源渗透绕过安全马奇诺防线。

参与方式

扫描下方活动行二维码/点击阅读全文免费报名沙龙

报名成功后扫描右侧二维码添加小助手进入沙龙交流群

微信图片_20211231135006.jpg1640929831206229.jpeg

福利抢先看

整场活动将在快手APP官方账号快手中学直播间进行,建议大家在端内观看,可以参与抽奖活动哦(观看越久,中奖几率越高)

微信图片_20211231134713.jpg

沙龙简介

快手安全「手」护者系列沙龙活动于今年5月首次举办,至今已成功举办两期。本系列沙龙大咖云集,顶尖白帽汇聚一堂,分享前沿技术干货、实践案例,同时与业内建立沟通桥梁,打造行业信息安全建设交流新平台,目前累计吸引上千人次参与沙龙交流学习。

快手安全沙龙「漏洞检测」专场,由快手安全技术团队和快手中学、火线、金山云、微博、五八联合举办,邀请五位行业大咖,做客快手进行深度技术交流。

议题合集

01《业务漏洞挖掘案例与思考分享》

唐茂凡 微博安全高级工程师

简介:浅谈当下企业从常规漏洞发现、到基于业务场景漏洞挖掘的转变和业务可能会面临的风险,结合业务漏洞挖掘案例,分享一个甲方安全工程师的一些经验、思考和体会,希望对大家有所帮助。

02《白盒扫描器在58的实践应用》

方钊 58资深安全工程师

简介:简单介绍58集团白盒扫描器在devops下的落地过程,以及在devops的场景下联动黑盒、SCA、服务治理相关能力实践。

03《如何利用污点跟踪技术高效的挖掘Java漏洞》

owefsad 火线安全研究专家

简介:进行漏洞挖掘与分析时,经常遇到调用链梳理、请求参数构造等一系列的技能点;希望通过污点跟踪技术的分享帮助大家更高效的挖掘0 Day。

04《云WAF建设之路》

董光利 前金山云安全开发工程师

简介:深入分析云waf现有的防护功能和攻防效果,包括:

* 分析云waf目前web防护的手段

* 分析web防护绕过的案例

* 分析"反bot"功能在红蓝对抗中的效果

05《快手蓝军近源攻击案例与思考分享》

雷东奇 快手攻防专家

简介:红蓝对抗演练中蓝军面临的最大挑战是:隐蔽突破红军现有的安全防御体系。本次分享介绍如何通过“阿登”高地(有线、无线Wi-Fi、物联网设备等)隐蔽近源渗透绕过安全马奇诺防线。

参与方式

扫描下方活动行二维码/点击阅读全文免费报名沙龙

报名成功后扫描右侧二维码添加小助手进入沙龙交流群

微信图片_20211231135006.jpg1640929831206229.jpeg

福利抢先看

整场活动将在快手APP官方账号快手中学直播间进行,建议大家在端内观看,可以参与抽奖活动哦(观看越久,中奖几率越高)

12月30日,由悬镜安全、OpenSCA联合主办的全球首款企业级OpenSCA技术开源发布会在北京泰富酒店如期举行,以“线上联动+线下交互”的模式同步进行。中国信息通讯研究院、中国网络安全产业联盟、国家信息技术安全研究中心、腾讯安全科恩实验室、百度工程效能部效率云、东方通集团、中兴通讯、乐信集团、北京赛博英杰科技有限公司、国浩律师(北京)事务所等组织机构的专家、学者、行业领袖等齐聚现场,共同见证企业级开源治理解决方案「悬镜源鉴OSS开源威胁管控平台」正式官宣开源化。

发布会现场高潮不断,精彩纷呈,针对“开源软件”、“供应链安全”等热点带来不同角度的学术探讨与实践分享,共同展望开源产业生态下的安全新态势。

技术驱动下的安全新态势

近年来,随着云计算、AI、IOT等技术的不断发展,IT等信息技术领域也有了新的突破,可以更好的赋能关键信息基础设施建设。然而,安全作为主旋律,一直是备受关注的焦点。一方面,传统安全防护措施的缺失,对于新型高级威胁缺少防护壁垒;另一方面,开源趋势下,事后防御的手段已不满足安全需求,“安全左移”下提出了更高的安全需求。

尤其是,近日影响力巨大的log4j 2.x的漏洞事件,引起了轩然大波。包括之前的solarwinds事件、Apace Strust2等漏洞事件都为我们敲响了安全警钟。如何做好此类事件的威胁防护、开源安全的风险治理是需要大家积极探讨的新命题。

开源安全探索与创新实践

在本次大会上,悬镜安全创始人兼CEO子芽以《用开源的方式做开源风险治理》为主题,围绕“开源”、“风险治理”、“OpenSCA”等关键词做了精彩分享。子芽表示,应用开源是大势所趋,但是避免不了Web通用漏洞、业务逻辑漏洞、开源成分的缺陷及后门等漏洞问题,而用开源的方式做开源风险治理,可以让开源用多样性拥抱不确定性,形成开源新范式。

此次,悬镜安全对外发布OpenSCA开源技术,是为了解决看不清、摸不透、跟不上、防不住的治理难题。OpenSCA作为悬镜安全旗下商业级SCA产品源鉴OSS开源威胁管控平台的开源版本,它继承了源鉴OSS的多源SCA开源应用安全缺陷检测核心能力。

而且,子芽认为,创新的过程也是价值迭代创造的过程,更有利于拓展人类认知实践的边界。而且希望用开源的方式做开源风险治理,和大家一起,守护中国软件供应链安全!

image.png

图1 悬镜安全创始人兼CEO子芽分享

中兴通讯开源合规&安全治理总监项曙明以《构建开源可信供应链实践分享》为主题进行了分享,开源标准体系的不断落地,行业应用的不断实践以及客户需求的逐渐成熟与清晰,我们不得不意识到开源安全治理能力成为企业必选,逐渐成为了企业进入市场的准入门槛。企业应根据所处行业特点、企业经营模式和特点,结合外部环境及要求,进行企业开源风险场景分析,制定适合企业长期发展的开源风险治理策略,以更加开放的商业姿态拥抱开源。

image.png

图2  中兴通讯开源合规&安全治理总监项曙明分享

国浩律所(北京)事务所合伙人胡静以《开源软件出口管制合规探讨》为主题探讨了什么是美国出口管制、美国出口管制与开源软件的关系、出口管制下的开源软件合规思路,解析软件管理中的长辖管理规则,助于我们建立开源软件管理的全球视野与国际化合规认知。

image.png

图3  国浩律师事务所合伙人胡静分享

腾讯安全科恩实验室DevSecOps技术专家赵洪阳分享了《以二进制SCA为核心的制品扫描》,他指出,制品扫描是重要的质量关卡,同时也是运营、开发过程重要的安全信息来源,而制品中也面临着License商业风险、开源组件、linux内核漏洞风险、敏感信息泄露、系统安全基线等安全问题,而以二进制SCA为核心,检测安全风险,可以保障检出率。主要从5个方面入手:

1. 二进制文件收集及格式解析

2. 检测技术的选择

3. 开源组件特征库维护

4. Kernel内核漏洞检测

5. 嵌入式系统安全检查

image.png

图4  腾讯安全科恩实验室DevSecOps技术专家赵洪阳分享 

乐信集团信息安全总监刘志诚以《生态闭环治理开源供应链安全》为主题做了精彩分享,他提出在开源软件的生命周期管理中,应该做好引入前、引入后、事件响应三个阶段的准备工作,做好安全风险的评估与治理,应急演练,风险转移工作,避免技术(漏洞验证、漏洞分析、缓解措施、代码修复)、资源(可持续性评估、应急响应、风险转移)带来的安全难题,共建保险、共享、社区的安全新生态,形成安全闭环。

image.png

图5 乐信集团信息安全总监刘志诚分享

中国信息通信研究院云大所云计算部副主任郭雪以《开源风险现状分析与SCA标准解读》对开源、开源组成要素、发展历程、产业发展等方向做了解读,数据显示,全球开源项目数量和我国开源项目数量都呈现了较大的增长,然而也面临着技术与运维、管理风险等可以预见但是无法规避的困难与挑战,针对这一现象国家不断推出了开源相关政策,大力认可开源带来的生态价值和产业价值。最后,郭主任系统解读了信通院依据开源生命周期建立的可信开源标准体系,帮助大家对开源的有序发展及体系化、标准化运营建立了更加清晰的框架性认知。

image.png

图6 中国信息通信研究院云大所云计算部副主任郭雪分享

用开源的方式做风险安全治理

当前,开源已覆盖软件开发的全域场景,正在构建新的软件技术创新体系,引领新一代信息技术创新发展。据不完全统计,全球97%的软件开发者和99%的企业使用开源软件,基础软件、工业软件、新兴平台软件大多基于开源,开源软件已经成为软件产业创新源泉和“标准件库”。与此同时,开源许可证的兼容性问题、开源项目的合规问题、开源安全漏洞问题和开源知识产权的侵权等问题也日趋凸显。

任何问题的出现,总要找到相应的解决方案!悬镜安全数十位来自北大的科研人员、行业专家智库,历时26280个小时潜心打磨,提出了“用开源的方式做开源风险治理”,希望用简单的配置即可完成对开源组件所使用的成分进行检测,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,助力企业进行开源风险的识别及治理。

未来,悬镜安全将依托软件供应链安全技术,布局开源安全产业生态,以前瞻性产业视角视角构筑行业安全生产线,不断拓展人类认知实践的边界,在更大的范围帮助更多的企业实现开源风险治理,助力开源生态健康有序发展。

如何参与OpenSCA开源项目

一、OpenSCA官网:

https://opensca.xmirror.cn/

二、OpenSCA开源项目地址

1. 本地检测工具

GitHub:

https://github.com/XmirrorSecurity/OpenSCA-cli

Gitee:

https://gitee.com/XmirrorSecurity/OpenSCA-cli

2. IDEA插件

GitHub:

https://github.com/XmirrorSecurity/OpenSCA-intellij-plugin

Gitee:

https://gitee.com/XmirrorSecurity/OpenSCA-intellij-plugin                                      

image.png

扫描二维码,了解OpenSCA更多信息

12月30日,由悬镜安全、OpenSCA联合主办的全球首款企业级OpenSCA技术开源发布会在北京泰富酒店如期举行,以“线上联动+线下交互”的模式同步进行。中国信息通讯研究院、中国网络安全产业联盟、国家信息技术安全研究中心、腾讯安全科恩实验室、百度工程效能部效率云、东方通集团、中兴通讯、乐信集团、北京赛博英杰科技有限公司、国浩律师(北京)事务所等组织机构的专家、学者、行业领袖等齐聚现场,共同见证企业级开源治理解决方案「悬镜源鉴OSS开源威胁管控平台」正式官宣开源化。

发布会现场高潮不断,精彩纷呈,针对“开源软件”、“供应链安全”等热点带来不同角度的学术探讨与实践分享,共同展望开源产业生态下的安全新态势。

技术驱动下的安全新态势

近年来,随着云计算、AI、IOT等技术的不断发展,IT等信息技术领域也有了新的突破,可以更好的赋能关键信息基础设施建设。然而,安全作为主旋律,一直是备受关注的焦点。一方面,传统安全防护措施的缺失,对于新型高级威胁缺少防护壁垒;另一方面,开源趋势下,事后防御的手段已不满足安全需求,“安全左移”下提出了更高的安全需求。

尤其是,近日影响力巨大的log4j 2.x的漏洞事件,引起了轩然大波。包括之前的solarwinds事件、Apace Strust2等漏洞事件都为我们敲响了安全警钟。如何做好此类事件的威胁防护、开源安全的风险治理是需要大家积极探讨的新命题。

开源安全探索与创新实践

在本次大会上,悬镜安全创始人兼CEO子芽以《用开源的方式做开源风险治理》为主题,围绕“开源”、“风险治理”、“OpenSCA”等关键词做了精彩分享。子芽表示,应用开源是大势所趋,但是避免不了Web通用漏洞、业务逻辑漏洞、开源成分的缺陷及后门等漏洞问题,而用开源的方式做开源风险治理,可以让开源用多样性拥抱不确定性,形成开源新范式。

此次,悬镜安全对外发布OpenSCA开源技术,是为了解决看不清、摸不透、跟不上、防不住的治理难题。OpenSCA作为悬镜安全旗下商业级SCA产品源鉴OSS开源威胁管控平台的开源版本,它继承了源鉴OSS的多源SCA开源应用安全缺陷检测核心能力。

而且,子芽认为,创新的过程也是价值迭代创造的过程,更有利于拓展人类认知实践的边界。而且希望用开源的方式做开源风险治理,和大家一起,守护中国软件供应链安全!

image.png

图1 悬镜安全创始人兼CEO子芽分享

中兴通讯开源合规&安全治理总监项曙明以《构建开源可信供应链实践分享》为主题进行了分享,开源标准体系的不断落地,行业应用的不断实践以及客户需求的逐渐成熟与清晰,我们不得不意识到开源安全治理能力成为企业必选,逐渐成为了企业进入市场的准入门槛。企业应根据所处行业特点、企业经营模式和特点,结合外部环境及要求,进行企业开源风险场景分析,制定适合企业长期发展的开源风险治理策略,以更加开放的商业姿态拥抱开源。

image.png

图2  中兴通讯开源合规&安全治理总监项曙明分享

国浩律所(北京)事务所合伙人胡静以《开源软件出口管制合规探讨》为主题探讨了什么是美国出口管制、美国出口管制与开源软件的关系、出口管制下的开源软件合规思路,解析软件管理中的长辖管理规则,助于我们建立开源软件管理的全球视野与国际化合规认知。

image.png

图3  国浩律师事务所合伙人胡静分享

腾讯安全科恩实验室DevSecOps技术专家赵洪阳分享了《以二进制SCA为核心的制品扫描》,他指出,制品扫描是重要的质量关卡,同时也是运营、开发过程重要的安全信息来源,而制品中也面临着License商业风险、开源组件、linux内核漏洞风险、敏感信息泄露、系统安全基线等安全问题,而以二进制SCA为核心,检测安全风险,可以保障检出率。主要从5个方面入手:

1. 二进制文件收集及格式解析

2. 检测技术的选择

3. 开源组件特征库维护

4. Kernel内核漏洞检测

5. 嵌入式系统安全检查

image.png

图4  腾讯安全科恩实验室DevSecOps技术专家赵洪阳分享 

乐信集团信息安全总监刘志诚以《生态闭环治理开源供应链安全》为主题做了精彩分享,他提出在开源软件的生命周期管理中,应该做好引入前、引入后、事件响应三个阶段的准备工作,做好安全风险的评估与治理,应急演练,风险转移工作,避免技术(漏洞验证、漏洞分析、缓解措施、代码修复)、资源(可持续性评估、应急响应、风险转移)带来的安全难题,共建保险、共享、社区的安全新生态,形成安全闭环。

image.png

图5 乐信集团信息安全总监刘志诚分享

中国信息通信研究院云大所云计算部副主任郭雪以《开源风险现状分析与SCA标准解读》对开源、开源组成要素、发展历程、产业发展等方向做了解读,数据显示,全球开源项目数量和我国开源项目数量都呈现了较大的增长,然而也面临着技术与运维、管理风险等可以预见但是无法规避的困难与挑战,针对这一现象国家不断推出了开源相关政策,大力认可开源带来的生态价值和产业价值。最后,郭主任系统解读了信通院依据开源生命周期建立的可信开源标准体系,帮助大家对开源的有序发展及体系化、标准化运营建立了更加清晰的框架性认知。

image.png

图6 中国信息通信研究院云大所云计算部副主任郭雪分享

用开源的方式做风险安全治理

当前,开源已覆盖软件开发的全域场景,正在构建新的软件技术创新体系,引领新一代信息技术创新发展。据不完全统计,全球97%的软件开发者和99%的企业使用开源软件,基础软件、工业软件、新兴平台软件大多基于开源,开源软件已经成为软件产业创新源泉和“标准件库”。与此同时,开源许可证的兼容性问题、开源项目的合规问题、开源安全漏洞问题和开源知识产权的侵权等问题也日趋凸显。

任何问题的出现,总要找到相应的解决方案!悬镜安全数十位来自北大的科研人员、行业专家智库,历时26280个小时潜心打磨,提出了“用开源的方式做开源风险治理”,希望用简单的配置即可完成对开源组件所使用的成分进行检测,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,助力企业进行开源风险的识别及治理。

未来,悬镜安全将依托软件供应链安全技术,布局开源安全产业生态,以前瞻性产业视角视角构筑行业安全生产线,不断拓展人类认知实践的边界,在更大的范围帮助更多的企业实现开源风险治理,助力开源生态健康有序发展。

如何参与OpenSCA开源项目

一、OpenSCA官网:

https://opensca.xmirror.cn/

二、OpenSCA开源项目地址

1. 本地检测工具

GitHub:

https://github.com/XmirrorSecurity/OpenSCA-cli

Gitee:

https://gitee.com/XmirrorSecurity/OpenSCA-cli

2. IDEA插件

GitHub:

https://github.com/XmirrorSecurity/OpenSCA-intellij-plugin

Gitee:

https://gitee.com/XmirrorSecurity/OpenSCA-intellij-plugin                                      

image.png

扫描二维码,了解OpenSCA更多信息

12月30日,由悬镜安全、OpenSCA联合主办的全球首款企业级OpenSCA技术开源发布会在北京泰富酒店如期举行,以“线上联动+线下交互”的模式同步进行。中国信息通讯研究院、中国网络安全产业联盟、国家信息技术安全研究中心、腾讯安全科恩实验室、百度工程效能部效率云、东方通集团、中兴通讯、乐信集团、北京赛博英杰科技有限公司、国浩律师(北京)事务所等组织机构的专家、学者、行业领袖等齐聚现场,共同见证企业级开源治理解决方案「悬镜源鉴OSS开源威胁管控平台」正式官宣开源化。

发布会现场高潮不断,精彩纷呈,针对“开源软件”、“供应链安全”等热点带来不同角度的学术探讨与实践分享,共同展望开源产业生态下的安全新态势。

技术驱动下的安全新态势

近年来,随着云计算、AI、IOT等技术的不断发展,IT等信息技术领域也有了新的突破,可以更好的赋能关键信息基础设施建设。然而,安全作为主旋律,一直是备受关注的焦点。一方面,传统安全防护措施的缺失,对于新型高级威胁缺少防护壁垒;另一方面,开源趋势下,事后防御的手段已不满足安全需求,“安全左移”下提出了更高的安全需求。

尤其是,近日影响力巨大的log4j 2.x的漏洞事件,引起了轩然大波。包括之前的solarwinds事件、Apace Strust2等漏洞事件都为我们敲响了安全警钟。如何做好此类事件的威胁防护、开源安全的风险治理是需要大家积极探讨的新命题。

开源安全探索与创新实践

在本次大会上,悬镜安全创始人兼CEO子芽以《用开源的方式做开源风险治理》为主题,围绕“开源”、“风险治理”、“OpenSCA”等关键词做了精彩分享。子芽表示,应用开源是大势所趋,但是避免不了Web通用漏洞、业务逻辑漏洞、开源成分的缺陷及后门等漏洞问题,而用开源的方式做开源风险治理,可以让开源用多样性拥抱不确定性,形成开源新范式。

此次,悬镜安全对外发布OpenSCA开源技术,是为了解决看不清、摸不透、跟不上、防不住的治理难题。OpenSCA作为悬镜安全旗下商业级SCA产品源鉴OSS开源威胁管控平台的开源版本,它继承了源鉴OSS的多源SCA开源应用安全缺陷检测核心能力。

而且,子芽认为,创新的过程也是价值迭代创造的过程,更有利于拓展人类认知实践的边界。而且希望用开源的方式做开源风险治理,和大家一起,守护中国软件供应链安全!

image.png

图1 悬镜安全创始人兼CEO子芽分享

中兴通讯开源合规&安全治理总监项曙明以《构建开源可信供应链实践分享》为主题进行了分享,开源标准体系的不断落地,行业应用的不断实践以及客户需求的逐渐成熟与清晰,我们不得不意识到开源安全治理能力成为企业必选,逐渐成为了企业进入市场的准入门槛。企业应根据所处行业特点、企业经营模式和特点,结合外部环境及要求,进行企业开源风险场景分析,制定适合企业长期发展的开源风险治理策略,以更加开放的商业姿态拥抱开源。

image.png

图2  中兴通讯开源合规&安全治理总监项曙明分享

国浩律所(北京)事务所合伙人胡静以《开源软件出口管制合规探讨》为主题探讨了什么是美国出口管制、美国出口管制与开源软件的关系、出口管制下的开源软件合规思路,解析软件管理中的长辖管理规则,助于我们建立开源软件管理的全球视野与国际化合规认知。

image.png

图3  国浩律师事务所合伙人胡静分享

腾讯安全科恩实验室DevSecOps技术专家赵洪阳分享了《以二进制SCA为核心的制品扫描》,他指出,制品扫描是重要的质量关卡,同时也是运营、开发过程重要的安全信息来源,而制品中也面临着License商业风险、开源组件、linux内核漏洞风险、敏感信息泄露、系统安全基线等安全问题,而以二进制SCA为核心,检测安全风险,可以保障检出率。主要从5个方面入手:

1. 二进制文件收集及格式解析

2. 检测技术的选择

3. 开源组件特征库维护

4. Kernel内核漏洞检测

5. 嵌入式系统安全检查

image.png

图4  腾讯安全科恩实验室DevSecOps技术专家赵洪阳分享 

乐信集团信息安全总监刘志诚以《生态闭环治理开源供应链安全》为主题做了精彩分享,他提出在开源软件的生命周期管理中,应该做好引入前、引入后、事件响应三个阶段的准备工作,做好安全风险的评估与治理,应急演练,风险转移工作,避免技术(漏洞验证、漏洞分析、缓解措施、代码修复)、资源(可持续性评估、应急响应、风险转移)带来的安全难题,共建保险、共享、社区的安全新生态,形成安全闭环。

image.png

图5 乐信集团信息安全总监刘志诚分享

中国信息通信研究院云大所云计算部副主任郭雪以《开源风险现状分析与SCA标准解读》对开源、开源组成要素、发展历程、产业发展等方向做了解读,数据显示,全球开源项目数量和我国开源项目数量都呈现了较大的增长,然而也面临着技术与运维、管理风险等可以预见但是无法规避的困难与挑战,针对这一现象国家不断推出了开源相关政策,大力认可开源带来的生态价值和产业价值。最后,郭主任系统解读了信通院依据开源生命周期建立的可信开源标准体系,帮助大家对开源的有序发展及体系化、标准化运营建立了更加清晰的框架性认知。

image.png

图6 中国信息通信研究院云大所云计算部副主任郭雪分享

用开源的方式做风险安全治理

当前,开源已覆盖软件开发的全域场景,正在构建新的软件技术创新体系,引领新一代信息技术创新发展。据不完全统计,全球97%的软件开发者和99%的企业使用开源软件,基础软件、工业软件、新兴平台软件大多基于开源,开源软件已经成为软件产业创新源泉和“标准件库”。与此同时,开源许可证的兼容性问题、开源项目的合规问题、开源安全漏洞问题和开源知识产权的侵权等问题也日趋凸显。

任何问题的出现,总要找到相应的解决方案!悬镜安全数十位来自北大的科研人员、行业专家智库,历时26280个小时潜心打磨,提出了“用开源的方式做开源风险治理”,希望用简单的配置即可完成对开源组件所使用的成分进行检测,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,助力企业进行开源风险的识别及治理。

未来,悬镜安全将依托软件供应链安全技术,布局开源安全产业生态,以前瞻性产业视角视角构筑行业安全生产线,不断拓展人类认知实践的边界,在更大的范围帮助更多的企业实现开源风险治理,助力开源生态健康有序发展。

如何参与OpenSCA开源项目

一、OpenSCA官网:

https://opensca.xmirror.cn/

二、OpenSCA开源项目地址

1. 本地检测工具

GitHub:

https://github.com/XmirrorSecurity/OpenSCA-cli

Gitee:

https://gitee.com/XmirrorSecurity/OpenSCA-cli

2. IDEA插件

GitHub:

https://github.com/XmirrorSecurity/OpenSCA-intellij-plugin

Gitee:

https://gitee.com/XmirrorSecurity/OpenSCA-intellij-plugin                                      

image.png

扫描二维码,了解OpenSCA更多信息

随着云计算、物联网、大数据、5G等新兴技术的兴起,网络信息安全边界弱化、基础设施服务碎片化,安全防护需求不断增加,对企业数据安全提出了更大挑战,再加上经济全球化,数据安全、隐私保护等问题越来越被重视,网络安全市场规模保持增长态势。

2021年是“十四五”开局之年,也是企业数字化转型的关键时点。网络安全作为保障企业数字化转型的重要抓手,成为支撑国家安全体系能力的战略力量。中国信通院发布的分析报告显示,我国网络安全产业处于快速发展期,预计2021年网络安全产业规模约为2002.5亿元,增速约为15.8%,保持高速增长。其中数据安全成为最热门领域,备受资本关注。

近年来,全球数据被攻击、窃取、劫持等现象又层出不穷,俨然成为安全的“重灾区”,给经济、政治、社会等领域带来巨大风险。IBM发布了“2021年数据泄露成本报告”表示,2020-2021年平均数据泄露总成本将增长10%,这是过去七年来最大的增幅。2021年遭受数据泄露的企业单次数据泄露事件平均耗费成本为424万美元,这个数字相比2020年增长了10%。而API作为数据传输的通道,从攻防角度来看,攻击者的目标是企业数据,在主机安全/网络安全日趋成熟的情况下,与其穿透层层内网窃取数据本身(数据库),不如攻破数据的传输管道(API)来的方便。随着API的普及,攻击者可以通过API后端应用漏洞、未授权访问、越权漏洞直接攻击API窃取数据。由于API的高速发展以及业务增速和安全的不对位,导致近两年来API安全问题导致的数据泄露事件频发,因此API安全受到越来越多的关注。

例如,Postman通过API工具及解决方案连接了开发者、小型团队、企业、公共API网络,构建出自己的增长飞轮,于今年Postman完成D轮融资2.25亿美元,领跑API安全生态。并且Postman在超过28,000位API研发人员的调查结果显示,企业对于API集成方案的考虑因素中,安全性位于首位,与性能并重。

image.png

新理念引领新发展,新时代孕育新机遇。北京星阑科技有限公司(以下简称“星阑科技”)作为一家新锐的创新型网络安全公司,其API安全产品“萤火”采用大数据分析技术,可以实现大数据安全威胁的快速响应,集安全态势感知、监测预警、快速响应和主动防御为一体,基于数据分级分类实施不同的API安全防护策略,形成协同安全防护体系。

任重道远者,不择地而息,随着市场和客户的需求变化,“萤火”也不断迭代更新,推出API通信拓扑可视化、自定义告警策略等新功能,围绕以数据为核心,以安全机制为手段,帮助客户构建定制化API“画像”,发现并收敛API生产过程中的风险,拦截针对API的漏洞攻击及数据窃取行为,最终围绕API的设计、开发、测试、运行和下线等阶段构建起API全生命周期的安全管理方案,赋能企业技术升级,为客户的数据化商业转型、大规模分布式架构、云计算、IT数字化改造提供安全保障。

image.png

凭借创新理念和优秀的产品,星阑科技于今年先后斩获ISC 2021创新独角兽沙盒大赛冠军、2021CCIA潜力之星、第六届"创客中国"网络安全中小企业创新创业大赛企业组亚军等10余个奖项,成功入选数说安全《2021年中国网络安全市场全景图》、FreeBuf《CCSIP 2021中国网络安全产业全景图》、ISC 2021创新百强榜单等多个榜单。除受到权威机构和行业认可外,星阑科技还于11月份完成了由苹果资本领投、国君景泰跟投的过亿元人民币Pre-A+轮融资,原有股东晨山资本、海贝资本在本轮融资中持续加码,深受资本市场青睐。

在以API传递应用能力和数字能力为特征的新经济模式日益繁荣的今天,智慧城市、移动互联网、物联网等为代表的IT数字化转型过程中的数据交换、共享场景是API安全的重点保护对象。目前,API作为新经济背景下的“商品”和“资产”,一路高歌猛进的同时也必定带来广泛的安全需求,面对复杂多变的API安全威胁,星阑科技作为国内较早关注该赛道的公司,将继续聚焦API安全产品的研发,深耕细作,为客户提供安全的API环境,守护数字世界的每一次网络调用。