墨菲安全是一家专注于软件供应链安全管理的科技公司。容器安全检测、软件组件分析(SCA)等,丰富的安全工具助您构建完善的软件开发安全能力(DevSecOps)。公司核心团队来自百度、华为等公司,拥有十余年企业安全建设、安全产品研发、安全攻防经验。1、墨菲安全受邀参加腾讯安全云丁实验室公开课分享2022年4月27日,墨菲安全受腾讯安全云丁实验室邀请,为腾讯工程师、软件供应商分享软件供应链安全解决方案。链由多方、多流程、多角色组成。供应商带来的威胁可以直接或间接地影响到用户和企业。因此,软件供应链的安全与各个环节的参与者息息相关。从Log4j漏洞到node-ipc组件中毒,供应链安全事件频次和影响不断扩大。供应链安全已经成为企业开展经营活动不得不面对的隐患,也是所有安全厂商的承诺。解决了问题。开源更安全还是更不安全?本次分享内容由墨菲安全联合创始人欧阳强斌和腾讯安全云丁实验室高级安全研究员王富伟分享,主题为“软件供应链安全威胁的一线观察与行业解决方案”,以及来自软件供应链的共享信息。典型的安全威胁,应对这些威胁的挑战是什么,以及业界不同组织在试图应对这些安全威胁时提出的解决方案。2.软件供应链安全威胁一线观察及行业解决方案分享王福伟先生从以下几个方面分享了软件供应链的真实威胁:软件供应链的相关角色包括软件供应商、软件消费者、在平台端,这三种角色之间没有绝对的界限,它们是相互作用的。事实上,真正的漏洞威胁远不止0day。软件供应链对开源组件漏洞带来的风险影响增强,即随着时间的推移,漏洞难以识别,修复费时费力,对受众的影响成倍增加,难度加大进行分析和管理。软件供应链安全的核心问题是打破一切无条件的信任,同时要有“意图”的感知;去考察所有的信任,分析所有依赖的上游,使用的平台工具,站在攻击者的角度,甚至假设面对的是国家反制力量。需要加入一个可控可信的平台,后门检测技术必须以三方不可信任为原则;开源协作的建设,必须以生态的方式解决生态问题,在自主可控的平台上构建自主接入、可复制的扫描能力,实现信息共享。最后,面对供应链威胁,预测更多攻击,研究解决方案,整合创造新技术,腾讯安全一直在探索。生态问题期待更多的生态声音、产业力量、更多的创新思维和商业化目标发声。欧阳强斌从以下几个方面详细分享了安全威胁背后的挑战和行业解决方案:随着软件产业和开源生态的发展,开源软件已经成为整个数字世界的基石。软件供应链的升级让开发过程变得更简单、成本更低。据统计,从2015年到2019年,开源代码的使用比例翻了一番,现在已经达到了78%。平均每个项目可能会引入100多个开源组件,其中20%-30%的组件可能存在不止一个漏洞。如果将63%的开源项目直接用于商业用途,就会存在许可侵权的风险。近两年来,从软件生产到使用的各个环节都发生了各种安全事件。由于开源技术应用广泛,国际形势复杂,软件供应链多元化,软件供应链攻击数量急剧上升,危害急剧增加。另一方面,黑客可以以低成本、良好的攻击覆盖率对通用软件供应链进行攻击,并可以通过数据窃取、勒索、挖矿等多种方式获取利润。因此,国家对软件供应链安全的治理也在不断加强。整体来看,供应链安全目前面临三大挑战:如何准确识别资产、如何发现或防范风险、如何实施低成本的公司治理。从行业来看,huntr、debricked等初创公司推出创新产品,openSSF基金会积极推广sigstore、scoreboard等解决方案,NPM、docker等包管理加强管控机制,CVE等标准而SPDX也在不断进化。总体而言,开源软件供应链处于高安全风险状态,受到攻击者和国家监管的高度关注。一个好的解决方案需要完善的工具链支持和丰富的组件、漏洞等知识数据才能实现。无论是组件还是漏洞,都在走向标准化,未来可能会非常标准化。然而,现实是未来还有很长的路要走。在软件供应链安全领域,其实并没有可以解决所有问题的单一方案。目前我们还需要做很多很细很琐碎的工作。努力工作,争取更好的结果。基于以上的分享,希望大家对软件供应链的安全有更深入的认识和思考。非常感谢有这次交流和分享的机会。我们将继续探索和推进未来的解决方案。如果您有任何问题,欢迎与我们沟通。完整内容可以观看视频:https://www.bilibili.com/video/BV18Y411P7bQ?spm_id_from=333.999.0.03.墨菲安全提供了哪些能力?帮助每一位开发者更安全地使用开源代码。其能力包括代码安全检测:识别代码项目中的开源组件安全漏洞并快速修复许可证合规性评估:识别代码项目中使用的开源组件许可证并检查合规风险软件组件分析识别:代码和第三方组件在基础环境依赖资产,有效管理资产。CLI工具可以在命令行检测指定目录下代码的依赖安全问题,也可以基于CLI工具在CI流程中实现检测。MurphySecurityCLI与JenkinsCI的集成请参考文档:murphysec.com/docs/integrations/jenkins/目前项目开源:https://github.com/murphysecurity/murphysec支持语言使用的函数和依赖信息分析项目,包括直接依赖和间接依赖检测项目依赖现有已知漏洞信息目前支持Java、JavaScript、Golang、Python、PHP语言项目的检测。JetBrainsIDE插件该插件可让开发者检测IDE中代码相关的安全问题,轻松识别代码中使用了哪些存在安全缺陷的开源组件,通过精准修复方案和一键式快速解决安全问题修复功能。在JetBrainsIDE插件市场搜索“murphysec”即可快速安装使用。支持功能目前MurphysecCodeScan支持以下功能:漏洞检测:检测Java(Maven)、JavaScript(npm)、Go(gomod)、Python(pip)代码中引入的缺陷组件一键修复:不仅有清晰的修复计划,你也可以使用这个功能快速修复实时检测:代码依赖发生变化导致安全问题,不用担心,插件会及时提醒处理。如有任何问题,请反馈并联系我们~
