《数字金融软件供应链安全解决方案》
《数字金融软件供应链安全解决方案》基于DevSecOps理念和配套安全产品,以准入安全、安全开发一体化、全流程自动化、合规化、准出安全为主要建设模块,实现软件供应链全链路的多维、全面安全保障。
通过对业务和场景进行梳理,对供应商和引入的开源或非开源项目进行筛选,并将在建或运营的项目纳入系统的监控范围,建设动态的、可持续性的安全体系(技术、管理、运维),保障金融企业数字应用的机密性、完整性、可用性,确保业务在安全的环境下稳定运行。
全球金融信息化发展态势不断融合、“后疫情时代”数字金融产业链深刻变革,软件供应链安全问题愈加复杂化、多元化。另外,基于我国大量采买、使用境外开源软件的普遍现状,国内开源技术应用存在进出口管制风险、知识产权风险、开源软件漏洞风险。
本方案基于上述背景,结合金融数字安全实际需求设计,以该方案作为助力数字金融软件供应链安全的实践载体,保障数字金融业务避免遭受软件系统自身缺陷风险、第三方软件和供应商的基础安全水平、开源生态的安全隐患、恶意攻击的安全威胁等安全限制。助力数字金融安全运转,增效数字金融安全发展。
本方案旨在解决规范软件在金融数字业务系统生命周期中的安全采集、安全管理及安全使用,从系统开发源头构建完整的软件供应链安全。始终坚持确保数字金融软件供应链的完整性、保密性、可用性、可控性。
以图1体系架构为主要实施框架,构建覆盖整个软件生命周期的安全管理平台,保障金融行业软件供应链的安全。
图1 方案体系架构
·准入安全
准入安全包括软件来源、软件安全合规、软件资产管理、服务支持、安全应急响应等。
根据科学完善的数据模型,对所引入的软件项目进行各个维度的数据采集,得出所评估业务系统的综合评分。以图2所示评估模型作为指导,以三个维度、12个要素评估软件成分安全性。协助开发和安全人员对软件供应链产品以及供应商进行择优选用,同时辅助安全人员对组件的安全性进行溯源。
此外,由于我国基础开源软件项目主导能力不足,存在开源断供风险、代码安全风险、知识产权风险以及自主创新风险,在准入安全的建设和赋能中尤其要重视开源成分的安全采买、安全使用、安全退出。
图2 软件成分评估模型
·DevSecOps落地
DevSecOps从DevOps的概念延伸和演变而来,其核心理念是安全需要贯穿从开发到运营整个业务生命周期的每个环节,才能提供有效保障、实现安全与业务流程的良好整合。本方案运用DevSecOps理念实践作为贯穿思路,打破传统安全门禁,实现软件供应链全链路的多维、全面安全保障。
·安全开发一体化
以“安全左移”为核心理念,让安全覆盖需求、设计、研发、验证、发布、运营的全生命周期。搭建安全体系,减少安全威胁以降低安全成本,全方面提升金融数字业务的安全性及人员安全能力,从软件供应链安全角度为数字业务系统实现更完善的安全赋能。
·全流程自动化
方案的各个模块以及各个技术工具既能将安全无缝集成DevOps,又能实现安全解耦。当安全原子能力的检测进行升级、扩展、更新时,无需调整或避免影响研发流水线。
·合规化
方案结合各项安全合规管理制度以及标准,帮助建设和改善金融业务软件应用安全合规管理体系。实现对安全合规的管理,帮助金融企业规避合规风险。同时帮助金融企业建设好安全组织体系、安全管理体系和安全技术体系的全面安全保障体系。
· 准出安全
准出安全在准入安全的基础上将重点落在软件上线前的安全检测以及上线后运行时的安全检测与防护、应急响应体系建设等。实现对整个软件生命周期的软件安全采集、安全编码、安全管理、安全使用、安全监控。帮助金融企业实现“安全左移”的同时,让安全覆盖软件活动的所有阶段。
· 验证阶段
在软件开发验证阶段,使用安全工具进行测试,确保数字金融软件自身无潜在安全隐患,同时对于开源及第三方组件进行风险管理。在该阶段投入使用静态代码审计、动态应用安全测试、交互式应用安全测试、软件成分分析等技术工具,通过多种自动化工具的结合使用,针对数字应用的自身安全、隐私问题进行全面和深度安全检测。
1)【安全玻璃盒】交互式应用安全测试系统( IAST )
IAST的优点在于其可支持DevSecOps,可对应用程序进行持续的实时测试、监控、评估和验证。
在验证阶段进行安全测试时使用IAST,部署Agent程序,同步完成安全测试。在业务测试完成后,输出安全测试报告。报告展示的漏洞信息能够精确定位漏洞具体位置,也可提供专业的安全修复建议,帮助开发人员快速完成问题定位及漏洞修复。
2)【安全玻璃盒】软件成分分析系统( SCA )
使用SCA工具对开源供应商健康度进行评估,辅助完善项目架构和组件选型;对软件自研成分产权进行分析,保障应用自身的自主可控性;提供软件物料清单管理SBOM,实现全生命周期的风险评估、选型引入、监测预警和响应修复;提供修复方案、组件推荐及一键式修复功能。利用工具准确识别软件中的开源成分以及代码安全性,为安全评估提供重要的手段支撑,同时提高软件成分自主水平。
· 运行阶段
【安全玻璃盒】“All in one”安全平台
运行阶段使用“ All in one ”交互式应用安全检测和开源成分安全分析与免疫防御一体化平台ASTP,通过正常业务使用,可同步无感知地完成对数字应用本身、引用的三方组件进行漏洞检测和漏洞定位。当发现漏洞或遇到异常攻击时,根据IAST输出的漏洞风险元数据和动态执行指纹,立即自动激活免疫防御能力,实现IAST和RASP智能攻防结合,让数字应用具备事前主动、全面、精确的代码免疫防御能力。
未来全球金融信息化程度将越来越高,相应的风险将进一步提升。本方案以辅助和共生的形式对数字金融业务进行安全保障,将助力金融企业对供应商、第三方应用、开源项目进行安全引入和安全管理,实现软件系统全生命周期的开发、使用、防护的安全赋能。保证数字金融业务系统安全高效运行,持续、稳定地产生价值;保障金融企业数字应用的机密性、完整性、可用性,确保业务在安全的环境下稳定运行。保护数字金融业务数据不被非法窃取或破坏,避免产生经济利益损害。